Skype es uno de los servicios de chat de voz y vídeo más antiguos y populares de Internet. En marzo de 2020, Microsoft reveló que Skype tenía 40 millones de usuarios activos diarios. Aunque han surgido muchos competidores, Skype sigue siendo popular en todo el mundo.
¿Entonces es seguro? ¿Es privado? ¿Qué deben tener en cuenta los usuarios de Skype cuando hacen llamadas y envían mensajes? En este artículo responderé a todas estas preguntas. Cubriré principalmente las aplicaciones estándar de Skype y no Skype for Business.
Recogida de datos de Microsoft
Microsoft adquirió Skype en 2011, por lo que Skype comparte una política de privacidad con todos los demás productos de consumo de Microsoft. Se requiere una cuenta de Microsoft para usar Skype. Por desgracia, eso hace que las prácticas de recopilación de datos de Skype sean muy opacas. Skype ni siquiera se menciona explícitamente en la declaración de privacidad de Microsoft, y esa declaración ni siquiera especifica qué información se recopila.
Dicho esto, podemos interpretar la declaración de privacidad para deducir algunos de los datos que Microsoft recopila sobre los usuarios de Skype.
Un perfil de Skype consiste en:
- Foto de perfil
- Nombre de usuario
- Contraseña
- Dirección de correo electrónico
- Localización
- Fecha de nacimiento
- Lista de contactos
Si utiliza Skype para llamar a teléfonos, entonces Microsoft también requerirá su información de pago.
Microsoft también registra las interacciones del usuario, que podrían incluir:
- A quién llama
- Hora y duración de las llamadas
- Historial de chat
- Archivos enviados y recibidos
- Números de teléfono a los que ha llamado
- Estado de la actividad
Microsoft dice que también obtiene datos sobre los usuarios de terceros, lo que podría incluir a los corredores de datos.
Microsoft utiliza los datos personales para la publicidad dirigida, la personalización, la investigación y el desarrollo, y para mejorar sus productos. Sus datos se comparten con las filiales, subsidiarias y proveedores de Microsoft. También puede entregar tus datos en respuesta a una solicitud legal.
Puedes gestionar algunos de los datos que Microsoft tiene sobre ti, pero no todos, utilizando su panel de privacidad en línea.
Descubrimiento
Skype por defecto hace que los usuarios sean fáciles de encontrar a través de la función de búsqueda. Si no quieres aparecer en los resultados de búsqueda o en las recomendaciones, puedes desactivar esta opción en la configuración de tu perfil.
Configuración de 2FA
Microsoft ofrece a todos los titulares de cuentas la opción de configurar la autenticación de dos factores. Recomiendo encarecidamente hacerlo, ya que es un gran elemento disuasorio para los posibles piratas informáticos.
La autenticación de dos factores, también llamada verificación en dos pasos, requiere que introduzcas un código de un solo uso enviado por correo electrónico, mensaje de texto o aplicación de autenticación, además de tu contraseña.
También puedes optar por iniciar sesión con una clave de seguridad, que suele venir en forma de un dispositivo USB que debe estar conectado al iniciar sesión en tu cuenta.
Grabación de llamadas
Los participantes en las llamadas entre usuarios de Skype pueden grabar sus llamadas y almacenarlas en los servidores de Microsoft durante un máximo de 30 días. Se trata de una característica integrada. Durante ese tiempo, pueden descargar el vídeo para utilizarlo como quieran. Todos los participantes recibirán un aviso si se está grabando una llamada. Las pantallas compartidas también se graban.
Encriptación
Skype no utiliza la encriptación de extremo a extremo por defecto. Eso significa que todos los mensajes, llamadas y archivos pueden ser vistos por Microsoft.
Pero a partir de 2018, Skype ofrece cifrado de extremo a extremo si utilizas la característica «Conversación privada». Para iniciar una Conversación Privada, selecciona «Nueva Conversación Privada» en el menú de composición o en el perfil del destinatario. El destinatario recibirá una invitación, y todas las llamadas y mensajes de esa conversación se cifrarán de extremo a extremo hasta que se termine. Ten en cuenta que los usuarios sólo pueden participar en una conversación privada por dispositivo a la vez. Se puede cambiar la conversación privada a otro dispositivo, pero todo lo que se envíe y reciba sólo se podrá acceder en el dispositivo que se esté utilizando en ese momento.
Por defecto, la voz, el vídeo, el texto y los archivos enviados entre usuarios de Skype están cifrados, pero sólo entre el dispositivo y los servidores de Microsoft. Esos datos se descifran una vez que llegan al servidor, lo que permite a Microsoft husmear si lo desea. Dado el historial de Microsoft con la NSA, es mejor asumir que nada de lo que hagas en Skype se mantiene en privado.
Por cada llamada que hagas, tu cliente de Skype crea una clave de cifrado AES de 256 bits única para esa sesión. Esta clave de sesión existe mientras la comunicación continúa y durante un tiempo fijo después, según la compañía. Cuando realizas una llamada, Skype transmite la clave de sesión a la persona a la que llamas y esa clave de sesión se utiliza para cifrar los mensajes en ambas direcciones. De nuevo, no se trata de un cifrado de extremo a extremo.
Las llamadas realizadas entre Skype y teléfonos fijos o móviles normales no están cifradas en absoluto. Los mensajes de voz están encriptados cuando los descargas, pero se almacenan como un archivo no encriptado en tu dispositivo.
Microsoft hace ping a las URL
En 2013 una investigación de Ars Technica descubrió que Skype «escanea regularmente el contenido de los mensajes en busca de signos de fraude, y los responsables de la compañía pueden registrar los resultados indefinidamente. Y esto solo puede ocurrir si Microsoft puede convertir los mensajes en forma legible para el ser humano a voluntad».
Parte de la investigación que vio a un investigador de seguridad crear URLs especialmente elaboradas que fueron enviadas a través del sistema de mensajería instantánea de Skype, contrarresta las afirmaciones de Skype hechas en 2007 de que no podía llevar a cabo escuchas telefónicas debido a la fuerte encriptación y a las complejas conexiones de red peer-to-peer.
Malware
Skype es el objetivo de ciertos tipos de malware, además de ser un medio de distribución para otros tipos de malware. Aunque todas las vulnerabilidades de seguridad conocidas en Skype han sido parcheadas, cubriremos aquí algunos incidentes pasados:
En febrero de 2016, los investigadores de Palo Alto Networks revelaron que una pieza de malware llamada T9000 se dirigía específicamente a los usuarios de Skype. Una vez instalado, el software puede grabar las llamadas de vídeo y audio de Skype, y subirlas junto con los chats de texto a un servidor. Sin embargo, hay una advertencia. Incluso con el malware instalado, el usuario debe dar permiso explícito para que acceda a Skype, aunque enmascara la solicitud para que el usuario no sepa que es malicioso. «La víctima debe permitir explícitamente que el malware acceda a Skype para que esta funcionalidad particular funcione. Sin embargo, dado que es un proceso legítimo el que solicita el acceso, el usuario puede permitirlo sin darse cuenta de lo que realmente está ocurriendo. Una vez habilitado, el malware grabará las videollamadas, las llamadas de audio y los mensajes de chat», afirman los investigadores.
Mantener Skype y el sistema operativo actualizados es la mejor manera de prevenir el malware. Los antivirus también son útiles.
Spam y phishing
Skype es antiguo, lo que significa que hay muchas cuentas abandonadas. Si un ciberdelincuente consigue secuestrar una de estas cuentas, puede utilizarla para difundir malware y enlaces de phishing a todas las personas de la lista de contactos de la cuenta. Esto se ve agravado por los usuarios que no investigan a sus contactos y aceptan solicitudes de desconocidos.
En 2019, el malware Rietspoof se propagó principalmente a través del spam de Skype. Se trataba de un troyano diseñado para infectar los sistemas y así poder descargar un malware más intrusivo y potente.
La empresa de seguridad F-Secure reveló en 2016 que unos delincuentes se hacían pasar por funcionarios estadounidenses y ofrecían ayuda a ciudadanos suizos para encontrar información sobre cómo solicitar visados para visitar Estados Unidos. Engañaban a las víctimas para que descargaran el malware QRAT.
Una simple regla evitará que alguna vez seas víctima de spam y phishing en Skype: nunca hagas clic en enlaces o archivos adjuntos no solicitados, especialmente de contactos con los que no te has comunicado en un tiempo.
Skype expone las direcciones IP
Los usuarios de Skype pueden averiguar las direcciones IP de las personas que llaman simplemente enumerando todas las conexiones TCP a su dispositivo. Esto se puede hacer con un solo comando en el Símbolo del sistema de Windows, por ejemplo.
Una dirección IP es una secuencia única de números y decimales que identifica un dispositivo y su ubicación.
Aunque una dirección IP en sí misma puede no ser enormemente valiosa, podría utilizarse junto con otra información personal contra alguien. Una solución a este problema es utilizar una VPN para ocultar la dirección IP real.
TOM Skype
En marzo de 2013, Jeffrey Knockel, un estudiante de posgrado de ciencias de la computación de la Universidad de Nuevo México, reveló que la versión especial de Skype que los usuarios chinos están obligados a utilizar -conocida como TOM Skype- permitía al gobierno chino recopilar información sobre sus usuarios, incluyendo información sobre sus creencias políticas, así como censurar lo que pueden decirse entre ellos.
En mayo del mismo año, la prestigiosa publicación rusa «Vedomosti» informó de que tanto la agencia de seguridad nacional como la policía pueden intervenir las conversaciones de Skype sin ni siquiera presentar una orden judicial.
Alternativas a Skype
Enumeraré algunas de las muchas aplicaciones de VoIP alternativas a Skype, de más a menos seguras:
- Signal: Si sólo necesitas llamar a una persona, Signal es la opción más segura que existe. Es una aplicación de mensajería que prioriza la seguridad y la privacidad por encima de todo. Todas las llamadas y mensajes están encriptados de extremo a extremo, a menos que la otra parte esté utilizando mensajes de texto SMS o MMS normales. Sin embargo, sólo admite llamadas entre dos usuarios.
- Facetime: Facetime admite llamadas en grupo de hasta 32 personas. Es una de las únicas aplicaciones de videoconferencia que ofrece cifrado de extremo a extremo en las llamadas con más de dos personas. Sin embargo, necesitarás un iPhone o iPad más reciente para utilizarla. iMessage se utiliza para los mensajes de texto. Apple no almacena ninguna información identificativa, salvo quién ha recibido la llamada y la configuración de la red, que se almacena durante 30 días.
- WhatsApp: aplicación de mensajería muy popular en todo el mundo, WhatsApp utiliza el protocolo de comunicación segura de Signal para cifrar las llamadas de voz y vídeo de extremo a extremo entre usuarios. No es tan seguro como Signal, pero es más cómodo. Los mensajes de texto se cifran del mismo modo. Hasta cuatro personas pueden unirse a una videollamada.
- Google Duo: Esta app está disponible para smartphones o en un navegador web. Cifra todas las llamadas de extremo a extremo para que Google no tenga acceso al contenido de la llamada. Sin embargo, Google recopila mucha otra información sobre los titulares de las cuentas. Hasta 12 personas pueden unirse a una llamada.
- GoToMeeting, Google Meet y Zoom: estos servicios funcionan prácticamente igual y ofrecen una seguridad similar. Son útiles para las videoconferencias con grupos más grandes de personas. GoToMeeting está basado en la web, lo que significa que todo tiene lugar en su navegador web. Zoom requiere la instalación de una aplicación nativa. Hangouts Meet, la versión de Google, funciona de cualquier manera. Se envían códigos de invitación a los participantes para que se unan a las llamadas. El anfitrión tiene mucho control sobre los privilegios y permisos de los asistentes. Se utiliza el cifrado TLS en tránsito, pero las llamadas no se cifran de extremo a extremo entre los usuarios. GoToMeeting, Google y Zoom tienen acceso al contenido de la llamada cuando llega a sus servidores.