Antes de comprobar los ajustes de seguridad individuales que ofrece el software de TeamViewer, queremos proporcionar información básica sobre los centros de datos y la base de nuestra infraestructura, así como alguna información sobre el cifrado, la autenticación y la validación.
Queremos que te sientas seguro sabiendo que TeamViewer se centra en los estándares más altos y que te ofrece una plataforma fuerte y segura.
Centros de datos y red central
Todos los servidores de TeamViewer están alojados en centros de datos de última generación que cumplen con la norma ISO 27001 y hacen uso de conexiones multirredundantes y fuentes de alimentación redundantes. Incluyen protección de datos de la matriz RAID, reflejo de bases de datos, copia de seguridad de datos, alta disponibilidad en el servidor de almacenamiento y sistemas de enrutamiento con mecanismos de recuperación ante desastres y procedimientos para garantizar un servicio continuo. Además, todos los servidores que almacenan datos confidenciales están ubicados en Alemania o en Austria.
Los centros de datos han implementado controles de seguridad de última generación, lo que significa que los controles de acceso personal, la videovigilancia, los detectores de movimiento, la monitorización las 24 horas del día, así como el personal de seguridad in situ garantizan que el acceso al centro de datos solo se concede a personas autorizadas y aseguran la mejor seguridad posible para el hardware y los datos. También se efectúa una minuciosa verificación de identificación en el punto de entrada único al centro de datos.
Firma de código
Como una característica de seguridad adicional, todo nuestro software se firma a través de la firma de código de DigiCert.
De este modo, el editor del software siempre se puede identificar fácilmente. Si el software se modifica con posterioridad, la firma digital se invalida automáticamente.
Sesiones de TeamViewer
CREAR UNA SESIÓN Y TIPOS DE CONEXIONES
Cuando se establece una sesión, TeamViewer determina el tipo de conexión óptimo. Después de la conexión a través de nuestros servidores maestros, en el 70 % de los casos se establece una conexión directa a través de UDP o TCP (incluso en equipos protegidos por puertas de enlace predeterminadas, NAT y cortafuegos). El resto de las conexiones se realizan a través de nuestra red de enrutadores altamente redundante a través de TCP o tunelización https.
No necesitas abrir ningún puerto para trabajar con TeamViewer.
CIFRADO Y AUTENTICACIÓN
El tráfico de TeamViewer se protege mediante el intercambio de claves públicas y privadas RSA y el cifrado de sesión AES (256 bits). Esta tecnología se utiliza de forma similar que en https/SSL y está considerada como completamente segura por los estándares actuales.
Dado que la clave privada nunca sale del equipo cliente, este procedimiento garantiza que los equipos interconectados, incluidos los servidores de enrutamiento de TeamViewer, no pueden descifrar el flujo de datos. Ni siquiera TeamViewer, como operadora de los servidores de enrutamiento, puede leer el tráfico de datos cifrado.
Todas las transferencias de datos de la consola de gestión se efectúan a través de canales seguros utilizando cifrado TLS («Transport Layer Security»), el estándar para las conexiones seguras a la red de Internet. Para el cifrado de autorizaciones y contraseñas se utiliza el protocolo de contraseña remota segura (SRP), un protocolo aumentado de establecimiento autenticado de claves de contraseña (PAKE). Un infiltrador o intermediario («man in the middle») no es capaz de obtener la información suficiente para poder adivinar una contraseña mediante la fuerza bruta. Esto significa que es posible obtener una seguridad sólida incluso utilizando contraseñas débiles. No obstante, TeamViewer continúa recomendando seguir las mejores prácticas de la industria para crear contraseñas que garanticen los máximos niveles de seguridad.
Cada client de TeamViewer ya tiene implementada la clave pública del clúster maestro y, por lo tanto, puede cifrar los mensajes en el clúster maestro y comprobar los mensajes firmados por él. La PKI (infraestructura de clave pública) evita eficazmente los ataques de intermediarios («man-in-the-middle»). A pesar del cifrado, la contraseña nunca se envía directamente, sino solo a través de un procedimiento de desafío-respuesta y solamente se guarda en el equipo local. Durante el proceso de autenticación, la contraseña nunca se transfiere directamente, ya que se utiliza un protocolo de contraseña remota segura (SRP). En el equipo local únicamente se almacena el verificador de contraseña.
Validación de los IDs de TeamViewer
Los IDs de TeamViewer se crean automáticamente a partir de diversas características de hardware y software. Los servidores de TeamViewer comprueban la validez de estos ID antes de cada conexión.
Protección de Fuerza Bruta
Los clientes potenciales que preguntan por la seguridad de TeamViewer suelen preguntar por la codificación. Comprensiblemente, lo que más se teme es el riesgo de que un tercero pueda vigilar la conexión o que los datos de acceso a TeamViewer sean intervenidos. Sin embargo, la realidad es que los ataques más primitivos suelen ser los más peligrosos.
Aquí encontrarás una descripción detallada de la protección contra ataques de fuerza bruta:
Puertos de TeamViewer
TeamViewer ha sido diseñado para funcionar sin necesidad de abrir puertos específicos para realizar una conexión y tampoco necesitas desactivar tu firewall.
TeamViewer te permite mantener tu dispositivo totalmente protegido mientras realizas o haces conexiones remotas.
A continuación puedes encontrar una descripción detallada de los puertos de TeamViewer y más información:
Direcciones IP de destino
El software de TeamViewer te conectará con tu compañero a través del router más adecuado. La ubicación del router depende de muchos parámetros, principalmente de la disponibilidad y el rendimiento. Nuestra infraestructura de servidores principales se encuentra en Alemania. Estos servidores utilizan diferentes rangos de direcciones IP, que además cambian con frecuencia. Por ello, no podemos proporcionar una lista de las IP de nuestros servidores. Sin embargo, todas nuestras direcciones IP tienen registros PTR que resuelven a *.teamviewer.com. Puedes utilizar esto para restringir las direcciones IP de destino que permites a través de tu firewall o servidor proxy.
Dicho esto, desde el punto de vista de la seguridad esto no debería ser realmente necesario - TeamViewer sólo inicia conexiones de datos salientes a través de un cortafuegos, por lo que es suficiente con bloquear todas las conexiones entrantes en tu cortafuegos y sólo permitir las conexiones salientes a través del puerto 5938, independientemente de la dirección IP de destino.
