Este artículo concierne a todos los usuarios de TeamViewer (Classic).
TL; DR
Todas las versiones de TeamViewer (Classic) utilizan una encriptación total. El cifrado está basado en intercambios de clave pública/privada RSA de 4096 bits y cifrados de sesión AES de 256 bits. Corresponde al mismo nivel de seguridad que http/SSL y es considerado completamente seguro por los estándares actuales.
Además, el intercambio de clave garantiza que la transmisión de datos está totalmente cifrada de cliente a cliente y que ninguno de los enrutadores y servidores involucrados (incluyendo los nuestros) sea capaz de leer ni analizar el flujo de datos.
La seguridad y la privacidad siempre han sido nuestra máxima prioridad en el desarrollo del programa.
Para más información, visita nuestro Centro de confianza de TeamViewer (Classic)
Público objetivo
Este artículo está dirigido a administradores de redes profesionales. La información de este documento es de naturaleza bastante técnica. Con base en esta información, los profesionales de TI recibirán imágenes de los estándares de seguridad en TeamViewer (Classic) y resolverán cualquier inquietud antes de implementar nuestro software. No dudes en compartir este artículo con tus clientes para resolver cualquier posible duda sobre seguridad.
Si no se considera parte del grupo destinatario, los datos básicos de la sección "La empresa / el software" te ayudarán a tener una idea clara de cómo nos tomamos la seguridad en serio.
La empresa y el software
Sobre nosotros
TeamViewer (Classic) GmbH fue fundada en 2005 y tiene su sede en el sur de Alemania, en la ciudad de Göppingen (cerca de Stuttgart), con filiales en Australia y Estados Unidos. Desarrollamos y vendemos software de conectividad remota para el acceso y soporte remoto seguro, soluciones de IoT, compromiso con el cliente y flujos de trabajo de realidad aumentada industrial. En un corto período de tiempo, nuestra licencia gratuita ha llevado a un rápido crecimiento, con más de 200 millones de usuarios del software TeamViewer (Classic) en más de 2.5 mil millones de dispositivos, en más de 200 países alrededor del mundo. El software está disponible en más de 30 idiomas.
Nuestra comprensión de la seguridad
TeamViewer (Classic) está siendo utilizado por más de 30 millones de usuarios en este momento del día. Estos usuarios brindan soporte espontáneo a través de internet, acceden a ordenadores desatendidos (por ejemplo, soporte remoto para servidores) y organizan reuniones en línea. Dependiendo de la configuración, TeamViewer (Classic) se puede usar para controlar de forma remota otro ordenador, como si estuvieras sentad@ frente a el.
Si el usuario que inició sesión en un ordenador remoto es un administrador de Windows, Mac o Linux, a esta persona también se le otorgarán derechos de administrador en ese ordenador. Está claro que una funcionalidad tan poderosa a través de internet debe protegerse contra ataques con un gran escrutinio. Por esta razón, situamos la seguridad en el centro de todo lo que hacemos, diseñando nuestro software de forma segura.
Nuestro objetivo es garantizar que el acceso a los ordenadores sea seguro. Queremos garantizar que el acceso a tu ordenador sea seguro y proteger nuestros propios intereses: millones de usuarios en todo el mundo solo confían en una solución segura, y solo una solución segura garantiza nuestro éxito a largo plazo como empresa.
Gestión de la calidad
La gestión de la seguridad es impensable sin un sistema de gestión de la calidad establecido. TeamViewer (Classic) GmbH es líder mundial en el mercado y cuenta con un sistema de gestión de calidad (QMS) con certificación ISO 9001. Nuestra gestión de la calidad sigue las normas reconocidas internacionalmente y se revisa anualmente mediante auditorías externas.
Evaluación de expertos externos
Nuestro software, TeamViewer (Classic), ha sido galardonado con un sello de calidad de cinco estrellas (valor máximo) por la Asociación Federal de Expertos y Revisores de TI (Bundesverband der IT- Sachverständigen und Gutachter eV, BISG eV). Los revisores independientes de BISG eV inspeccionan los productos de productores cualificados por su calidad, seguridad y características de servicio.
Referencias
Empresas líderes en todo el mundo de distintos sectores, como los servicios financieros, la sanidad, la administración pública y otros sectores con datos muy sensibles, recurren a TeamViewer (Classic) para el acceso y la asistencia remota segura, la colaboración con clientes, IoT y las soluciones de realidad aumentada industrial. Para ver cómo usan otros profesionales TeamViewer (Classic) en sus organizaciones, échale un vistazo a nuestras historias de éxito:
Sesiones de TeamViewer (Classic)
Creación de una sesión y tipos de conexiones
Al establecer una sesión, TeamViewer (Classic) determina el tipo óptimo de conexión. Después del protocolo de enlace a través de nuestros servidores maestros, se establece una conexión directa a través de UDP o TCP en el 70% de todos los casos (incluso detrás de puertas de enlace estándar, NAT y firewalls).
El resto de las conexiones se enrutan a través de nuestra red de enrutadores altamente redundantes a través de TCP o tunelización http. ¡No tienes que abrir ningún puerto para trabajar con TeamViewer (Classic)!
Como se describe en el siguiente párrafo Conexiones seguras, ni siquiera nosotros, como operadores de los servidores de enrutamiento, podemos leer el tráfico de datos cifrados.
Conexiones seguras
El tráfico de TeamViewer (Classic) está protegido mediante el intercambio de claves pública / privada RSA y el cifrado de sesión AES (256 bits). Esta tecnología se utiliza de forma comparable a https / TLS y se considera completamente segura según los estándares actuales.
Como la clave privada nunca sale del client del equipo, este procedimiento garantiza que los equipos interconectados, incluidos los servidores de enrutamiento de TeamViewer (Classic), no puedan descifrar el flujo de datos. Cada client de TeamViewer (Classic) tiene un certificado del clúster maestro y, por lo tanto, puede verificar los certificados del sistema TeamViewer (Classic).
Estos certificados se utilizan en un protocolo de enlace entre los participantes de la red de TeamViewer (Classic). En el siguiente diagrama se puedes ver una descripción general simplificada de este protocolo de enlace.
La clave de sesión derivada de este protocolo de enlace se utiliza posteriormente para cifrar la comunicación entre las partes que utilizan AES.
Autenticación con contraseña
Durante la autenticación con contraseña de TeamViewer (Classic), no se comparten datos equivalentes a contraseña porque se utiliza la versión 6 del protocolo Secure Remote Password (SRP).
Sólo se almacena un verificador de contraseña en el ordenador local. Para más detalles, consulta la sección Cuenta de TeamViewer (Classic).
Validación de las IDs de TeamViewer (Classic)
Las IDs de TeamViewer (Classic) se basan en diversas características de hardware y software y TeamViewer (Classic) las genera automáticamente. Los servidores de TeamViewer (Classic) comprueban la validez de estas IDs.
Protección de fuerza bruta
Los clientes potenciales que preguntan sobre la seguridad de TeamViewer (Classic) preguntan regularmente sobre el cifrado. Es comprensible que el riesgo de que un tercero pueda monitorear la conexión o de que los datos de acceso de TeamViewer (Classic) estén siendo intervenidos sea el más temido. Sin embargo, la realidad es que los ataques más primitivos suelen ser los más peligrosos.
En el contexto de la seguridad informática, un ataque de fuerza bruta es un método de prueba y error para adivinar una contraseña que protege un recurso. Con la creciente potencia informática de los ordenadores estándar, el tiempo necesario para adivinar contraseñas largas se ha reducido cada vez más.
Como defensa contra ataques de fuerza bruta, TeamViewer (Classic) aumenta exponencialmente la latencia entre intentos de conexión. Por lo tanto, se necesitan hasta 17 horas para 24 intentos. La latencia solo se restablece después de ingresar correctamente la contraseña correcta.
TeamViewer (Classic) no solo cuenta con un mecanismo para proteger a nuestros clientes de los ataques de un ordenador específico, sino también de los atacantes que controlan una gran cantidad de ordenadores que intentan acceder a un ordenador objetivo específico, por ejemplo, usando una red de robots (botnet).
Firma de código
Como característica de seguridad adicional, todo nuestro software está firmado a través de DigiCert Code Signing. De esta manera, el editor del software se puede identificar fácilmente. Si el software se ha cambiado posteriormente, la firma digital deja de ser válida automáticamente.
Centro de datos y backbone
Para proporcionar la mejor seguridad y disponibilidad posibles de los servicios de TeamViewer (Classic), todos los servidores de TeamViewer (Classic) están ubicados en centros de datos que cumplen con la norma ISO 27001, aprovechan las conexiones de portadora redundantes múltiples y las fuentes de alimentación redundantes. Además, solo se utiliza hardware de última generación. Además, todos los servidores que almacenan datos confidenciales se encuentran dentro de Alemania o Austria.
Tener la certificación ISO27001 significa que el control de acceso personal, la vigilancia con cámaras de video, los detectores de movimiento, el monitoreo 24x7 y el personal de seguridad en el sitio garantizan el acceso al centro de datos solo a personas autorizadas y garantizan la mejor seguridad posible para el hardware y los datos. También hay una verificación de identificación detallada en el punto único de entrada al centro de datos.
Cuenta de TeamViewer (Classic)
Las cuentas de TeamViewer (Classic) se alojan en servidores dedicados de TeamViewer (Classic). Para obtener información sobre el control de acceso, consulta Centro de datos y backbone más arriba. Para la autorización se utiliza la versión 6 del protocolo Secure Remote Password (SRP). Este protocolo combina las ventajas de las formas convencionales de almacenamiento de contraseñas. No almacenamos ninguna información en nuestros servidores que pueda ser utilizada por un atacante para autenticarse como la cuenta dada. Además, nunca se envía una contraseña a nuestros servidores durante la autenticación. En su lugar, se usa una prueba que solo es válida para la ejecución de autenticación única y no se puede reutilizar después.
Los datos almacenados en la cuenta, por ejemplo, contraseñas, claves, registros de chat, etc. se cifran mediante una combinación de RSA y AES, donde la clave raíz para el cifrado se deriva de la contraseña del usuario. Esto asegura que un atacante sin la contraseña no pueda acceder a los datos almacenados en la cuenta.
Management Console
TeamViewer (Classic) Management Console es una plataforma web para la gestión de usuarios, informes de conexión y gestión de ordenadores y contactos.
Está alojado en centros de datos con certificación ISO-27001 y que cumplen con HIPAA. Toda la transferencia de datos se realiza a través de un canal seguro que utiliza encriptación TSL (Transport SecurityLayer), el estándar para conexiones seguras a la red de Internet. Los datos confidenciales se almacenan utilizando los mismos mecanismos de autenticación y cifrado descritos para la cuenta de TeamViewer (Classic).
Configuración basada en políticas
Desde la Management Console de TeamViewer (Classic), los usuarios pueden definir, distribuir y aplicar políticas de configuración para las instalaciones de software de TeamViewer (Classic) en dispositivos que les pertenecen específicamente.
Las políticas de configuración están firmadas digitalmente por la cuenta que las genera. Esto asegura que la única cuenta autorizada para asignar una política a un dispositivo es la cuenta a la que pertenece el dispositivo.
Seguridad de aplicaciones en TeamViewer (Classic)
Lista de permitidos y bloqueados
Especialmente cuando TeamViewer (Classic) se utiliza para el mantenimiento no presencial de un ordenador (es decir, no hay nadie frente al ordenador), la lista de permitidos permite reforzar la seguridad.
Con esta opción, el número de personas que pueden acceder a la máquina es limitado e incluso si, por ejemplo, se roba la contraseña, un atacante no puede acceder al dispositivo. Las restricciones se pueden hacer para permitir que solo determinadas IDs de TeamViewer (Classic) o cuentas de TeamViewer (Classic) accedan al ordenador de forma remota.
Las listas de permisos se pueden administrar mediante las políticas descritas en la sección Management Console.
La lista de bloqueados te permite evitar que ciertos usuarios o dispositivos establezcan una conexión con tu ordenador. Las cuentas de TeamViewer (Classic) o las ID de TeamViewer (Classic) que figuran en la lista de bloqueados no pueden conectarse a tu ordenador.
📌Nota: Podrás seguir estableciendo sesiones salientes de TeamViewer (Classic) hacia esos usuarios de la lista de bloqueados
Chat
Los mensajes de chat y su historial se cifran de un extremo a extremo y se almacenan en la cuenta de TeamViewer (Classic) mediante RSA / AES, como se describe en el capítulo Cuenta de TeamViewer (Classic). Solo los participantes en una sala de chat o chat individual pueden acceder a los mensajes y al historial.
Sin modo sigiloso
No hay ninguna función que te permita hacer que TeamViewer (Classic) se ejecute completamente en segundo plano.
Incluso si la aplicación se ejecuta como un servicio de Windows en segundo plano, TeamViewer (Classic) siempre está visible mediante un icono en la bandeja del sistema.
Después de establecer una conexión, siempre hay un pequeño icono en el panel de control visible en la bandeja del sistema. Como consecuencia de esto, TeamViewer (Classic) es intencionalmente inadecuado para monitorear de forma encubierta ordenadores o empleados. Esto permite a los usuarios asegurarse de que no se muestren datos confidenciales en su pantalla durante una sesión de TeamViewer (Classic).
Dispositivos de confianza
Los dispositivos de confianza son una alternativa a la autenticación de dos factores y proporcionan una capa adicional de seguridad para tu cuenta de TeamViewer (Classic).
Si no se configura la autenticación de dos factores, los dispositivos de confianza se aplicarán automáticamente. Como medida preventiva para garantizar la seguridad de tu cuenta, debes autorizar manualmente los nuevos dispositivos o navegadores cuando inicies sesión para acceder a tu cuenta de TeamViewer (Classic) desde ellos por primera vez.
Como parte del proceso de autorización, se envía un correo electrónico a tu dirección de correo electrónico asociada a tu cuenta de TeamViewer (Classic). Si no se agrega un dispositivo, un navegador o una IP a tus dispositivos de confianza, no podrás iniciar sesión. Esto protege tu cuenta de que otros intenten iniciar sesión, ya que necesitarían acceder a tu bandeja de entrada de correo electrónico también para autorizar el inicio de sesión.
Más información sobre los dispositivos de confianza y la gestión de los dispositivos de confianza:
- Dispositivos de confianza
- Gestión de la confianza de los dispositivos de confianza
Protección de contraseña
Para la atención espontánea a un cliente, TeamViewer (Classic) (TeamViewer (Classic) QuickSupport) genera una contraseña aleatoria que se puede cambiar en cualquier momento. Si tu cliente te dice su contraseña, puedes conectarte a su ordenador ingresando su ID y contraseña. Dependiendo de la configuración, se generará una nueva contraseña en el ordenador del cliente después de reiniciar TeamViewer (Classic), después de la sesión o cuando se solicite manualmente.
Cuando uses TeamViewer (Classic) para el soporte remoto no presencial (por ejemplo en servidores), recomendamos:
Para más detalles, consulta nuestro manual de seguridad.
En combinación con la Autenticación de dos factores, esta protección cubre el acceso a cualquier cuenta como a cualquier máquina que estés manteniendo a través de TeamViewer (Classic). Todas las contraseñas se verifican utilizando el mismo protocolo SRP descrito en la sección "Cuenta de TeamViewer (Classic)".
Control de acceso entrante y saliente
Puedes configurar individualmente los modos de conexión de TeamViewer (Classic). Por ejemplo, puedes configurar tu ordenador de reuniones o soporte remoto de manera que no sean posibles las conexiones entrantes.
Limitar la funcionalidad a las características que realmente se necesitan siempre significa limitar los posibles puntos débiles para posibles ataques.
Autenticación de dos factores
TeamViewer (Classic) ayuda a las empresas con sus requisitos de cumplimiento de HIPAA y PCI. La autenticación de dos factores agrega una capa de seguridad adicional para proteger las cuentas de TeamViewer (Classic) del acceso no autorizado.
Además del nombre de usuario y la contraseña, el usuario debe ingresar un código para poder autenticarse. Este código se genera mediante el algoritmo de contraseña de un solo uso basado en el tiempo (TOTP). Por lo tanto, el código solo es válido por un corto período de tiempo.
A través de la autenticación de dos factores y la limitación de acceso mediante listas de permitidos, TeamViewer (Classic) ayuda a cumplir con todos los criterios necesarios para la certificación HIPAA y PCI.
Pruebas de seguridad
Tanto la infraestructura de TeamViewer (Classic) como el software de TeamViewer (Classic) están sujetos a pruebas de penetración de forma periódica. Las pruebas se realizan por empresas independientes, especializadas en pruebas de seguridad.
