Des que la Covid-19 va irrompre a les nostres vides, les videotrucades han esdevingut el centre de la nostra comunicació diària: treball remot, classes online, reunions familiars, entrevistes, esdeveniments… Tot passa per una pantalla. Aquesta comoditat té una cara B: si no configurem bé la seguretat, obrim la porta a curiosos, ciberdelinqüents ia fugides de dades que ens poden portar problemes seriosos.
El problema no és només que algú es pugui colar a crits en una reunió. El veritable risc és que un tercer pugui espiar, gravar o fins i tot prendre el control dels nostres equips sense que ens n'adonem. Per sort, la majoria de plataformes inclouen ajustaments de seguretat molt potents… però gairebé mai no vénen ben configurats per defecte. Per això és clau conèixer quines opcions activar ja mateix.
Fins a quin punt són segures les trucades de vídeo?
Amb l'auge del teletreball, diversos organismes han analitzat en profunditat les principals plataformes de videoconferència. L'Agència de Seguretat Nacional dels EUA (NSA), per exemple, va revisar 13 de les eines de videoxat més usades per valorar els punts forts i febles en matèria de ciberseguretat.
En aquesta avaluació es van fixar, entre d'altres, si l'eina oferia xifrat d'extrem a extrem real, si permetia activar autenticació de dos factors (2FA), si estava basada en codi obert o programari propietari, si compartia dades amb tercers i com gestionava l'esborrament de la informació dels usuaris, tant als dispositius com als seus servidors.
Les conclusions no són tranquil·litzadores: cap servei complia amb tots els requisits ideals de seguretat. Alguns, com Espai de treball de Google o Microsoft Teams, no ofereixen xifratge d'extrem a extrem a totes les comunicacions ni utilitzen tecnologies obertes auditables. Altres, com Zoom, Slack, Cisco Webex o Skype Empresarial, tenen polítiques d'esborrament i retenció de dades millorables.
Les millors puntuacions en aquest informe se les van emportar WhatsApp, Senyal i Wickr, aplicacions dissenyades des de l'inici amb la privadesa com a prioritat i amb xifrat d'extrem a extrem robust. Tot i així, el missatge de fons és clar: fins i tot a les plataformes més serioses, la teva seguretat depèn en gran mesura de com les configures i de com les utilitzes.
Riscos habituals en videotrucades i videoconferències
Abans de tocar ajustaments, convé entendre què pot fallar. Els problemes de seguretat en videotrucades no es limiten que algú entri a cridar en una classe en línia; hi ha riscos tècnics, legals i de privadesa que moltes vegades passen desapercebuts.
Xifratge d'extrem a extrem: el pilar bàsic
Un dels punts clau és saber si la teva eina aplica xifrat d'extrem a extrem (E2EE), és a dir, que només les persones que participen a la trucada puguin desxifrar el contingut, sense que ni tan sols el proveïdor pugui veure o sentir el que es transmet.
Quan el xifratge no és extrem a extrem, la comunicació pot estar xifrada «en trànsit», però el proveïdor disposa de les claus i, en teoria, podria accedir a les trucades, col·laborar amb tercers o veure's compromès en una bretxa de dades. Per això, sempre que sigui possible, és recomanable optar per serveis amb E2EE activable, com Signal, WhatsApp, FaceTime o certes modalitats de Zoom i altres plataformes.
Intercepció, enregistraments i accessos no autoritzats
Un altre front delicat és la possibilitat que la trucada sigui interceptada, gravada o accedida per qui no ha de. Moltes reunions es protegeixen únicament amb un enllaç curt fàcil d'endevinar; en el passat, per exemple, es va demostrar que es podien «endevinar» URLs de reunions públiques a Zoom o trobar sales obertes usant cercadors.
A això se suma que, en algunes plataformes, l'enregistrament de sessions es pot fer sense que tots els participants siguin plenament conscients, o que els enregistraments s'emmagatzemin al núvol sense les degudes mesures de protecció. En entorns corporatius o educatius, això pot suposar des de filtracions de secrets professionals fins a problemes de protecció de dades de menors.
Ús i emmagatzematge de les teves dades
Cada aplicació aplica la seva pròpia política sobre com tracta la teva informació: registres de trucades, identificadors de dispositiu, contactes, dades d'ús, adreces IP… És important revisar si l'eina compleix normatives com el RGPD europeu o la CCPA a Califòrnia i quins tercers tenen accés a aquesta informació.
A més, cal tenir en compte on s'emmagatzemen els continguts associats a l'app. En alguns casos, fotos, xats o historials de converses es guarden de manera local sense que l'usuari sigui del tot conscient. Per exemple, Skype pot emmagatzemar imatges rebudes al telèfon, ia Zoom el registre de xat d'una reunió també pot incloure missatges privats quan es descarreguen els logs.
Funcions de vigilància i control dins de l'app
Algunes plataformes incorporen eines de «productivitat» que, mal utilitzades, es converteixen en mecanismes de vigilància encoberta. Hi va haver polèmica, per exemple, amb la funció de Zoom que permetia a l'organitzador saber si un assistent abandonava la finestra de l'aplicació durant un temps determinat.
Aquest tipus de característiques poden ser temptadores per supervisar empleats o estudiants, però plantegen dilemes ètics i legals, sobretot si no s'informa clarament els participants. Convé revisar-les i desactivar-les si no són estrictament necessàries.
Malware, apps falses i permisos excessius
L'altra gran amenaça ve de fora de la plataforma. L'auge de les trucades de vídeo ha disparat l'aparició de aplicacions falses, instal·ladors modificats i pàgines de descàrrega fraudulentes que, en lloc de l'app legítima, instal·len codi maliciós al dispositiu.
També és un risc acceptar sense pensar els permisos que demana l'app: accés a càmera, micròfon, contactes, emmagatzematge o ubicació. Si algun dels permisos cau en mans d'una aplicació maliciosa, és qüestió de temps que s'utilitzi per espiar o robar informació. Per això molts experts recomanen, com a mesura extra, tapar físicament la webcam quan no es fa servir i tancar completament l'app després de les reunions.
Casos reals: Zoombombing i robatori de credencials
Els incidents de seguretat en videotrucades no són teòrics. Durant la pandèmia es va popularitzar el terme Zoombombing per descriure les irrupcions de desconeguts en reunions i classes online organitzades a Zoom i altres plataformes.
A molts col·legis i universitats, estudiants i trols compartien enllaços i contrasenyes de reunions a xarxes socials i fòrums com Reddit, Discord o Twitter, coordinant irrupcions en directe per llançar insults, contingut racista, pornogràfic o amenaces. Molts d'aquests atacs s'acabaven amb el tancament forçat de la sessió per part de l'amfitrió.
Més enllà de l'escàndol puntual, preocupa la figura de l'intrús silenciós: aquella persona que entra a la reunió sense fer soroll, escolta, grava i marxa amb informació valuosa sobre projectes, dades personals o decisions internes duna empresa.
També s'han detectat casos en què credencials d'accés a comptes i reunions es posaven a la venda en fòrums de ciberdelinqüents. En una investigació publicada per la premsa especialitzada es parlava de centenars de milers d'usuaris afectats, molts d'ells víctimes indirectes per reutilitzar contrasenyes antigues robades a altres serveis.
Aquests exemples deixen clar que, en un escenari d'ús massiu de videotrucades, els atacants tenen incentius més que suficients per explotar qualsevol distracció, per petit que sigui.
Ajustaments imprescindibles per protegir les teves videotrucades
La bona notícia és que, amb uns quants canvis en la configuració, pots incrementar radicalment la seguretat de les teves reunions. Els detalls concrets varien entre Zoom, Teams, Meet, Webex, Jitsi, Signal, etc., però els principis són pràcticament els mateixos.
1. Protegeix sales i comptes amb contrasenyes fortes i 2FA
La primera cosa és blindar tant el teu compte com les pròpies reunions. Utilitza contrasenyes llargues, úniques i difícils d'endevinar, combinant majúscules, minúscules, números i símbols. No reutilitzeu claus que ja utilitzeu en altres serveis.
Si la plataforma ho ofereix, activa sempre l'autenticació de dos factors (per SMS, app d'autenticació o clau física). Aquest simple pas fa molt més complicat que algú pugui entrar al teu compte fins i tot si aconsegueix la teva contrasenya.
Pel que fa a les reunions, evita utilitzar el teu ID personal permanent per a sessions públiques o recurrents. És preferible generar IDs de reunió aleatoris i únics per a cada esdeveniment, sempre protegits amb una contrasenya robusta que comparteixis només per canals segurs.
2. Usa sala d'espera i bloqueja l'accés quan estigueu tots
Gairebé totes les eines modernes inclouen una opció tipus sala d'espera o lobby. Amb ella, els assistents es queden en una avantsala virtual fins que l'amfitrió els dóna pas manualment.
Activa aquesta funció per poder veure la llista de persones que intenten entrar i validar la identitat. Si detectes un nom sospitós o algú que no hi hauria d'estar, simplement no li permets accedir-hi. Un cop estiguin tots dins, bloqueja la reunió per impedir noves incorporacions.
Configura també avisos perquè, cada vegada que algú es connecti o surti, l'aplicació mostri una notificació a l'amfitrió. Això facilita detectar intrusions a meitat de reunió o connexions inesperades.
3. Controla qui pot compartir pantalla, arxiu o àudio
Una altra mesura molt eficaç és restringir per defecte lús de recursos sensibles com lús de càmera, micròfon, compartició de pantalla i enviament de fitxers.
L'ideal és que les reunions es configurin perquè tots els participants entrin amb el micro silenciat i el vídeo apagat, i que sigui l'amfitrió qui concedeixi permisos quan calgui. Així s'eviten situacions compromeses, fuites d'informació visual o sorolls no desitjats en sessions amb molts assistents.
De la mateixa manera, marca l'opció perquè només l'amfitrió pugui compartir pantalla per defecte. Si algú necessita presentar-hi, se li donen permisos puntuals. Això evita que un intrús o un assistent despistat comparteixi contingut sensible o inadequat amb la resta.
Revisa també els ajustaments de enviament d'arxius i enllaços al xat. Si no són imprescindibles, limita'ls o desactiva'ls, ja que són un canal típic per distribuir malware, phishing o documents perillosos.
4. Vigila què es veu i què se sent a les teves reunions
Encara que la part tècnica estigui ben configurada, hi ha un component de sentit comú que és igual dimportant. Abans d'encendre la càmera o compartir pantalla, revisa què es veu al voltant i quines finestres tens obertes en el teu equip.
Evita que apareguin a la vista documents confidencials, dades personals, noms d'usuari, adreces web o fitxers sensibles. En la mesura del possible, fes servir fons virtuals o desenfocament del fons si la plataforma ho permet, i retira fotos familiars, credencials o informació privada de la zona visible.
Pel que fa al contingut de la conversa, tracta qualsevol videotrucada com si pogués ser gravada: no doneu dades bancàries, credencials d'accés ni informació extremadament sensible llevat que sigui estrictament imprescindible i comptis amb un canal realment segur.
5. Activa només els permisos necessaris i tanca l'app en acabar
Dedica uns minuts a revisar la configuració de privadesa i permisos de l'aplicació. Desactiva tot allò que no sigui essencial: funcions perquè estranys et trobin pel teu correu o telèfon, recomanacions basades en els teus contactes, integracions amb xarxes socials, enviament de dades a tercers amb finalitats publicitàries, bots o integracions externes que no utilitzes.
Al mòbil, ajusta els permisos del sistema perquè l'app només tingui accés a càmera i micròfon quan realment s'estigui usant, i no de forma permanent en segon pla. A l'ordinador, acostuma't a tancar completament el programa en acabar la reunió, no només minimitzar-lo.
Si vols arrissar el ris, pots tapar físicament la càmera web amb una tapa lliscant o un post-it quan no l'estigues fent servir. No és la panacea, però afegeix una capa de protecció davant de possibles accessos no autoritzats.
Elecció de la plataforma: no totes ofereixen el mateix nivell de seguretat
A més dels ajustaments interns, val la pena aturar-se a pensar si l'eina que esteu usant és la més adequada per al tipus d'informació que manegeu. No és el mateix una videotrucada informal amb amics que una reunió en què es comparteixen dades de clients, històries clíniques o secrets empresarials.
Xifratge, privadesa i compliment normatiu
A l'hora de triar plataforma, revisa si proporciona xifrat d'extrem a extrem, polítiques de privadesa clares i compliment amb normatives com el RGPD. Eines com Signal, WhatsApp o FaceTime compten amb E2EE sòlid per disseny, cosa que les fa molt interessants per a converses especialment sensibles.
Al terreny de les videoconferències corporatives (zoom, Webex, Teams, Meet, Jitsi, etc.), és important comprovar quin tipus de xifratge utilitzen, on emmagatzemen les dades i quines opcions ofereixen per gestionar enregistraments i registres. En molts casos, les funcions de seguretat més avançades només estan disponibles en plans de pagament.
Pla empresarial vs pla gratuït
Per a ús professional continuat, gairebé sempre compensa optar per plans empresarials en lloc de versions gratuïtes. Aquests plans solen incloure millors controls de seguretat, més opcions dadministració, suport tècnic més ràpid, polítiques de retenció de dades clares i eines de gestió centralitzada per a grans equips.
Amb els plans bàsics o gratuïts, en canvi, és habitual que n'hi hagi limitacions en el nombre d'assistents, menor control de permisos, menys opcions de xifratge o emmagatzematge de dades al núvol amb poca capacitat de configuració. Per a una pime o una organització que manegi informació delicada, aquestes mancances poden sortir cares.
Descàrregues des de llocs oficials i programari actualitzat
Sigui quina sigui la plataforma triada, és fonamental descarregar l'aplicació única i exclusivament des de la web oficial del proveïdor o des de les botigues oficials (Google Play, App Store, Microsoft Store, etc.). Les pàgines de descàrregues de tercers, les webs plenes de publicitat o els enllaços rebuts per correu o missatgeria són un imant per a programari modificat i codi maliciós.
Igual important és mantenir el programa sempre actualitzat a l'última versió disponible. Les actualitzacions no només afegeixen funcions noves: corregeixen vulnerabilitats, tanquen bretxes i enforteixen el xifratge. Retardar aquestes actualitzacions és deixar obertes portes que els ciberdelinqüents coneixen bé.
Bones pràctiques per a administradors i organitzadors de reunions
Quan gestiones reunions de treball, classes en línia o esdeveniments amb molta gent, el teu paper com a amfitrió és clau. No n'hi ha prou de crear l'enllaç i creuar els dits: cal una petita «política d'ús» interna i algú que la faci complir.
Designa sempre una persona administradora
En qualsevol reunió de certa grandària, convé que hi hagi una persona encarregada de crear la sala, configurar la seguretat, supervisar els accessos i gestionar permisos. Aquesta figura centralitza la gestió i evita que es dupliquin tasques o que hi quedin buits sense vigilar.
Abans de la reunió, aquesta persona s'ocupa de triar l'eina adequada, generar l'ID de la sala, configurar contrasenya, sala despera, bloqueig de pantalla compartida i resta de restriccions, i enviar la convocatòria per canals segurs als assistents previstos.
Durant la sessió, controla qui entra i qui surt, assigna permisos de vídeo i àudio, gestiona la sala d'espera i pot expulsar qui es comporti de forma inadequada o no estigui autoritzat. Després de la reunió, s'encarrega d'esborrar enregistraments innecessaris, compartir materials pels canals definits i tancar la sala correctament.
Gestiona de forma responsable enregistraments i continguts
Enregistrar reunions pot ser molt útil, però també és una font de risc. Abans de donar-li al botó de gravar, informa sempre totes les persones participants i explica per què s'utilitzarà l'enregistrament, qui hi tindrà accés i durant quant de temps es conservarà.
Sempre que sigui possible, limita la possibilitat de gravar l'amfitrió o usuaris concretament autoritzats, i configura l'aplicació perquè mostri un avís visible quan s'estigui registrant la sessió. Evita emmagatzemar enregistraments sensibles en ubicacions sense xifratge o en serveis al núvol sense protecció addicional.
Defineix normes clares dús i comunicació
Especialment en entorns educatius i empresarials, és recomanable establir-ne unes regles bàsiques sobre què es pot fer i què no a les videotrucades: no fer captures de pantalla sense permís, no difondre enllaços o contrasenyes de reunions, no reenviar invitacions sense autorització, no compartir informació confidencial a canals de xat públics, etc.
Una breu explicació a l'inici de les sessions més delicades ajuda a fer que tothom tingui clar el marc: si es gravarà, si es pot xatejar, si està permès compartir pantalla, com es gestionaran les preguntes i què fer si algú detecta una persona aliena a la trucada.
Altres consells clau per blindar el teu dia a dia en videotrucades
A més de tots els ajustaments anteriors, hi ha una sèrie de recomanacions generals que val la pena interioritzar per reduir al màxim la superfície d'atac en l'ús quotidià d'aquestes eines.
Evita xarxes Wi-Fi públiques per a reunions sensibles
Les xarxes Wi-Fi obertes, sobretot a llocs públics, són especialment perilloses. Solen mancar de xifrat adequat i permeten a qualsevol connectat a la mateixa xarxa intentar espiar el trànsit o llançar atacs de tipus “man-in-the-middle”.
Si t'has de connectar sí o sí des d'una xarxa d'aquest tipus, fes servir una VPN de confiança per xifrar tot el trànsit del vostre dispositiu i minimitzar el risc que algú pugui interceptar la vostra trucada de vídeo o les credencials d'accés.
No acceptis invitacions ni trucades de desconeguts
En plataformes que permeten cercar usuaris per telèfon, email o àlies, ajusta els paràmetres de privadesa perquè només els teus contactes o persones de la teva organització puguin trobar-te. Rebutja sol·licituds sospitoses i no responguis trucades que no sàpigues de qui vénen.
Si rebeu un enllaç a una videotrucada per un canal poc fiable o d'algú que no coneixeu, no ho obris a la lleugera. Confirma per una altra via si la invitació és legítima i, si tens dubtes, descarta-la.
Minimitza la informació personal que comparteixes
Fins i tot en entorns de confiança, intenta limitar la quantitat de dades personals, financeres o corporatives sensibles que dónes per videotrucada. Moltes aplicacions guarden registres i, si la plataforma pateix una bretxa de seguretat, aquesta informació podria acabar en mans inadequades.
Si necessites compartir documents delicats, és preferible enviar-los xifrats per un canal específicament preparat per fer-ho abans o després de la videotrucada, en lloc de mostrar-los obertament a la pantalla o adjuntar-los al xat.
Complementa amb solucions de ciberseguretat
Finalment, recorda que les videotrucades són només una peça del puzle. De poc serveix tenir-ho tot perfecte a l'app si el teu ordinador o el teu mòbil ja estan compromesos per codi maliciós (malware). Un bon antivirus, filtres antiphishing, tallafocs ben configurat i una política mínima de còpies de seguretat són aliats imprescindibles.
Si gestiones una empresa o una organització, valora la possibilitat de comptar amb serveis externs especialitzats en ciberseguretat que t'ajudin a definir polítiques, desplegar eines de protecció a tots els dispositius i formar els usuaris perquè detectin correus, enllaços i apps malicioses.
La seguretat en videotrucades no depèn d'un únic botó màgic, sinó d'una suma de petits ajustaments i hàbits: triar bé la plataforma, activar xifratge i contrasenyes robustes, controlar qui entra i què es comparteix, descarregar sempre des de llocs oficials, mantenir tot actualitzat i fer servir amb cap càmera, micròfon i pantalla. Amb aquests ajustaments de seguretat activats i una mica de sentit comú, les teves reunions en línia seran molt menys desitjables per als ciberdelinqüents i molt més tranquil·les per a tu.
