Seguridad y Microsoft Teams

Importante

El modelo de servicio de Teams está sujeto a cambios para mejorar la experiencia del cliente. Por ejemplo, el acceso predeterminado o los tiempos de vencimiento del token de actualización pueden estar sujetos a modificaciones para mejorar el rendimiento y la resistencia de autenticación para aquellos que usan Teams. Cualquiera de estos cambios se haría con el objetivo de mantener Teams seguro y confiable por naturaleza.

Como parte del servicio de Microsoft 365 y Office 365, Microsoft Teams sigue los procedimientos y prácticas de seguridad recomendados, como la seguridad de nivel de servicio a través de la defensa en profundidad, los controles de cliente dentro del servicio, el reforzamiento de la seguridad y los procedimientos operativos recomendados. Si necesita información detallada, consulte el Centro de confianza de Microsoft.

Confiable por su diseño

Teams está diseñado y desarrollado conforme al ciclo de vida de desarrollo de seguridad (SDL, Security Development Lifecycle) de Trustworthy Computing de Microsoft, que se describe en Microsoft Security Development Lifecycle (SDL) (Ciclo de vida de desarrollo de seguridad [SDL] de Microsoft). El primer paso para crear un sistema de comunicaciones unificadas más seguro fue diseñar modelos de amenazas y probar cada característica tal como se diseñó. Se integraron múltiples mejoras relacionadas con la seguridad en el proceso y las prácticas de codificación. Las herramientas de tiempo de compilación detectan excesos de almacenaje y otras amenazas de seguridad antes de que el código se incorpore al producto final. No se puede diseñar una protección contra todas las amenazas de seguridad no conocidas. Ningún sistema puede garantizar una seguridad completa. Sin embargo, como el desarrollo del producto se basó en principios de diseño seguro desde el inicio, Teams cuenta con tecnologías de seguridad estándares del sector como parte fundamental de su infraestructura.

Confiable de forma predeterminada

Las comunicaciones de red de Teams se cifran de forma predeterminada. Al requerir que todos los servidores usen certificados y al usar OAUTH, Seguridad de la capa de transporte (TLS) y el protocolo de transporte seguro en tiempo real (SRTP), todos los datos de Teams están protegidos en la red.

¿Cómo controla Teams las amenazas comunes de seguridad?

En esta sección se identifican las amenazas de seguridad más comunes del servicio Teams y la forma en que Microsoft minimiza cada una de ellas.

Ataque mediante clave conocida

Teams usa las características de PKI en el sistema operativo Windows Server para proteger los datos clave que se usan para cifrar las conexiones TLS. Las claves que se usan para cifrar medios se intercambian a través de conexiones TLS.

Ataque por denegación de servicio de red

Un ataque por denegación de servicio distribuido (DDOS) tiene lugar cuando el atacante impide el uso y el funcionamiento normales de red a usuarios válidos. Con un ataque por denegación de servicio, el atacante puede:

  • Enviar datos no válidos a las aplicaciones y los servicios que se ejecutan en la red que sufre el ataque para interrumpir su funcionamiento normal.
  • Enviar una gran cantidad de tráfico, lo que sobrecarga el sistema hasta que deja de responder o responde lentamente a las solicitudes legítimas.
  • Ocultar las pruebas de los ataques.
  • Impedir que los usuarios obtengan acceso a los recursos de la red.

Teams ofrece protección frente a estos ataques mediante la ejecución de la protección de red Azure DDOS y la limitación de las solicitudes de los clientes desde los mismos puntos de conexión, subredes y entidades federadas.

Interceptación

La interceptación se produce cuando un atacante obtiene acceso a la ruta de acceso de datos en una red y tiene la capacidad de supervisar y leer el tráfico. Los interceptores también se denominan examen o rastreo. Si el tráfico se produce como texto sin formato, el atacante puede leerlo cuando obtiene acceso a la ruta. Un ejemplo es un ataque que se realiza al controlar un enrutador de la ruta de acceso a los datos.

Teams usa TLS mutua (MTLS) y OAuth de servidor a servidor (S2S) (entre otros protocolos) para las comunicaciones de servidor dentro de Microsoft 365 y Office 365, y también usa TLS desde los clientes al servicio. Todo el tráfico de la red está cifrado.

Estos métodos de comunicación hacen que la interceptación sea difícil o imposible de lograr dentro del período de tiempo de una sola conversación. TLS autentica todas las partes y cifra todo el tráfico. Mientras TLS no evita la interceptación, el atacante no puede leer el tráfico a menos que se interrumpa el cifrado.

El protocolo Traversal Using Relays around NAT (TURN) se utiliza para fines multimedia en tiempo real. El protocolo TURN no impone el cifrado del tráfico, y la información que envía está protegida por la integridad del mensaje. Si bien este protocolo está abierto a la interceptación, la información que envía (es decir, direcciones IP y puerto) se puede extraer directamente examinando las direcciones de origen y de destino de los paquetes. El servicio Teams se asegura de que los datos son válidos comprobando la integridad del mensaje mediante la clave derivada de algunos elementos, como una contraseña TURN, la cual no se envía nunca en texto no cifrado. SRTP (Secure Real-Time Transport Protocol) se utiliza para el tráfico de elementos multimedia y también está encriptado.

Suplantación de identidad (imitación de direcciones IP)

La suplantación de identidad (spoofing) se produce cuando el atacante identifica y entonces usa una dirección IP de una red, un equipo o un componente de red sin tener autorización para ello. Un ataque con éxito permite al atacante operar como si el atacante fuera la entidad que normalmente se identifica por la dirección IP.

TLS autentica todas las partes y cifra todo el tráfico. El uso de TLS impide que un atacante realice la suplantación de direcciones IP en una conexión específica (por ejemplo, conexiones de TLS mutua). Un atacante aún podría suplantar la dirección del servidor Sistema de nombres de dominio (DNS). Sin embargo, como la autenticación en Teams se realiza con certificados, un atacante no tendrá una información válida necesaria para suplantar la identidad de una de las partes de la comunicación.

Ataque de intermediario

Un ataque de intermediario se produce cuando un atacante desvía la comunicación entre dos usuarios a través del equipo del atacante sin que lo sepan esos dos usuarios. El atacante puede supervisar y leer el tráfico antes de enviarlo al destinatario previsto. Sin darse cuenta, todos los usuarios que participan en la comunicación envían tráfico al atacante y reciben tráfico del mismo pensando que la comunicación se produce únicamente con el usuario previsto. Este escenario puede suceder si un atacante modifica los Servicios de dominio de Active Directory para agregar su servidor como un servidor de confianza o modifica la configuración de DNS o usa otros medios para que los clientes se conecten al servidor a través del atacante.

Los ataques de intermediario en el tráfico multimedia entre dos puntos de conexión que participen en audio, vídeo y uso compartido de aplicaciones en Teams, se impide usando el Protocolo de transporte en tiempo real seguro (SRTP) para cifrar la secuencia multimedia. Las claves de cifrado se negocian entre los dos puntos de conexión a través de un protocolo de señalización de propietario (protocolo de señalización de llamada de Teams) que usa el canal de cifrado UDP o TCP de TLS 1.2 y AES-256 (en modo GCM).

Ataque de reproducción del Protocolo de transporte en tiempo real (RTP)

Un ataque de reproducción se produce cuando se intercepta y retransmite una transmisión multimedia válida entre dos usuarios con fines malintencionados. Teams usa SRTP con un protocolo de señalización segura que protege las transmisiones de estos ataques al permitir que el receptor tenga un índice de los paquetes RTP ya recibidos y pueda comparar cada paquete nuevo con los paquetes que ya figuran en ese índice.

Mensajes instantáneos no deseados

Los mensajes instantáneos no deseados son mensajes instantáneos comerciales no solicitados o solicitudes de suscripción de presencia, como el correo no deseado, pero en forma de mensaje instantáneo. Si bien estos mensajes por sí mismos no son un peligro para la seguridad de la red, son como mínimo molestos, pueden reducir la disponibilidad y la productividad de los recursos, y podrían llegar a poner en peligro la red. Un ejemplo es el caso de usuarios que se envían solicitudes no deseadas entre sí. Los usuarios pueden bloquearse entre sí para evitar los mensajes instantáneos no deseados, pero con la federación, si un actor malintencionado establece un ataque coordinado, puede ser difícil de solucionar a menos que se deshabilite la federación del asociado.

Virus y gusanos

Un virus es una unidad de código cuyo propósito es reproducir más unidades de código similares. Para que funcione, un virus necesita un anfitrión, como un archivo, un correo electrónico o un programa. Al igual que un virus, un gusano es una unidad de código que reproduce más unidades de código similares, pero que, a diferencia de un virus, no necesita un host. Los virus y los gusanos suelen aparecer principalmente durante las transferencias de archivo entre clientes o cuando otros usuarios envían direcciones URL. Si hay un virus en su equipo, podrá, por ejemplo, usar su identidad y enviar mensajes instantáneos en su nombre. Las medidas estándar de seguridad de cliente como los análisis periódicos en busca de virus pueden mitigar este problema.

Intentos de suplantación de identidad (

Los ataques de suplantación de identidad (phishing) en Teams son costosos económicamente y para la tranquilidad. Estos ataques operan a través de engañar a los usuarios para que revelen información como contraseñas, códigos, números de tarjetas de crédito y otra información crítica, a través de vínculos de sitios web falsos y datos adjuntos que aparecen inocuos pero que pueden descargar software peligroso al hacer clic. Debido a que muchos de estos ataques se dirigen a usuarios, incluso objetivos de alto valor con mucho acceso, pueden ser generalizado. Sin embargo, existen estrategias contra la suplantación de identidad para administradores y usuarios de Teams.

Marco de seguridad de Teams

Teams aprueba ideas de seguridad como Confianza cero y Principios de acceso con privilegios mínimos. Esta sección ofrece información general sobre los elementos fundamentales que conforman un marco de seguridad de Microsoft Teams.

Los elementos básicos son:

  • Microsoft Entra ID, que proporciona un único repositorio back-end de confianza para las cuentas de usuario. La información del perfil de usuario se almacena en Microsoft Entra ID a través de las acciones de Microsoft Graph.
    • Pueden emitirse varios tokens que es posible que vea si realiza un seguimiento de su tráfico de red. Incluyendo los tokens de Skype que puede ver en los seguimientos mientras se observa el tráfico de audio y el chat.
  • Seguridad de la capa de transporte (TLS) cifra el canal en movimiento. La autenticación se realiza mediante TLS mutua (MTLS), basada en certificados, o bien mediante autenticación de servicio a servicio basada en Microsoft Entra ID.
  • Las secuencias de audio, vídeo y uso compartido de aplicaciones punto a punto se cifran y se comprueba su integridad con el protocolo de transporte seguro en tiempo real (SRTP).
  • También verá el tráfico de OAuth en el seguimiento, especialmente en torno a los intercambios de token y los permisos negociables mientras se cambia entre pestañas en Teams, por ejemplo, para desplazarse de Publicaciones a Archivos. Para obtener un ejemplo del flujo de OAuth para pestañas, consulte este documento.
  • Teams usa protocolos estándar del sector para la autenticación de usuarios, siempre que sea posible.

En las siguientes secciones se tratan algunas de estas tecnologías básicas.

id. de Microsoft Entra

Microsoft Entra id. funciona como servicio de directorio de Microsoft 365 y Office 365. Almacena toda la información del directorio de usuarios y aplicaciones, y las asignaciones de directivas.

Cifrado de tráfico en Teams

En esta tabla, se muestran los tipos de tráfico principales y qué protocolo se usa para el cifrado.

Tipo de tráfico Cifrado por
Servidor a servidor TLS (con MTLS o OAuth de servicio a servicio)
Del cliente al servidor, por ejemplo, mensajería instantánea y presencia TLS
Flujos multimedia, por ejemplo, uso compartido de audio y vídeo multimedia TLS
Uso compartido de audio y vídeo en elementos multimedia SRTP/TLS
Señalización TLS
Cifrado mejorado de cliente a cliente (por ejemplo, llamadas de cifrado de un extremo a otro) SRTP/DTLS

Puntos de distribución de lista de revocación de certificados (CRL)

El tráfico de Microsoft 365 y Office 365 se realiza en canales cifrados TLS/HTTPS, lo que significa que los certificados se usan para el cifrado de todo el tráfico. Teams requiere que todos los certificados de servidor cuenten con uno o varios puntos de distribución de CRL. Los puntos de distribución CRL (CDP) son ubicaciones desde las que se pueden descargar CRL para comprobar si un certificado no ha sido revocado después de su emisión y todavía se encuentra dentro del período de validez. Un punto de distribución CRL se anota en las propiedades del certificado como una dirección URL y es HTTPS. El servicio Teams comprueba CRL con cada autenticación de certificado.

Uso mejorado de clave

Los componentes del servicio Teams requieren que los certificados de servidor sean compatibles con el Uso mejorado de clave (EKU) para la autenticación del servidor. La configuración del campo EKU para la autenticación de los servidores significa que el certificado es válido para la autenticación de los servidores. Este EKU es esencial para MTLS.

TLS para Teams

Los datos de Teams se cifran en tránsito y en reposo en los servicios Microsoft, entre servicios, y entre clientes y servicios. Microsoft realiza esto mediante tecnologías estándar del sector como TLS y SRTP para cifrar todos los datos en tránsito. Los datos en tránsito incluyen mensajes, archivos, reuniones y otro contenido. Los datos empresariales también se cifran en reposo en los servicios de Microsoft para que las organizaciones puedan descifrar el contenido si es necesario, para cumplir con las obligaciones de seguridad y cumplimiento a través de métodos como eDiscovery. Para obtener más información sobre el cifrado en Microsoft 365, consulte Cifrado en Microsoft 365

Los flujos de datos TCP se cifran mediante TLS, y los protocolos de OAuth de servicio a servicio y MTLS proporcionan comunicaciones autenticadas de punto de conexión entre servicios, sistemas y clientes. Teams utiliza estos protocolos para crear una red de sistemas de confianza y garantizar que todas las comunicaciones en esa red estén cifradas.

En una conexión TLS, el cliente solicita un certificado válido al servidor. Para que sea válido, una entidad de certificación (CA) debe haber emitido el certificado; esa CA también debe ser de confianza para el cliente y el nombre DNS del servidor debe coincidir con el nombre DNS del certificado. Si el certificado es válido, el cliente usa la clave pública del certificado para cifrar las claves de cifrado simétricas que se utilizarán para la comunicación, de modo que solo el propietario original del certificado puede usar su clave privada para descifrar el contenido de la comunicación. La conexión resultante es fiable y desde ese punto no es desafiada por otros servidores o clientes fiables.

El uso de TLS ayuda a evitar los ataques de escucha y de tipo man-in-the middle. En los ataques de intermediario, el atacante enruta las comunicaciones entre dos entidades de red a través del equipo del atacante sin que lo sepa ninguna de esas entidades. La especificación de los servidores de confianza por parte de TLS y de los Teams mitiga el riesgo de un ataque intermediario parcialmente en el nivel de aplicación mediante el uso de un cifrado coordinado con la criptografía de clave pública entre los dos puntos finales. Un atacante tendría que tener un certificado válido y de confianza con la clave privada correspondiente y expedir el nombre del servicio al que se comunica el cliente para descifrar la comunicación.

Cifrado en Teams y Microsoft 365

Hay varias capas de cifrado en funcionamiento dentro de Microsoft 365. El cifrado en Teams funciona con el resto del cifrado de Microsoft 365 para proteger el contenido de su organización. En este artículo se describen las tecnologías de cifrado específicas de Teams. Para obtener información general sobre el cifrado en Microsoft 365, consulte Cifrado en Microsoft 365.

Cifrado de medios

Los flujos de llamadas en Teams se basan en el modelo de oferta y respuesta Session Description Protocol (SDP) RFC 8866 a través de HTTPS. Una vez que el destinatario acepta una llamada entrante, el autor de la llamada y el destinatario aceptan los parámetros de la sesión.

El tráfico de medios se cifra, y fluye entre el autor de la llamada y el destinatario utilizando RTP seguro (SRTP), que es un perfil de protocolo de transporte en tiempo real (RTP) que proporciona al tráfico RTP confidencialidad, autenticación y protección contra los ataques de reproducción. SRTP utiliza una clave de sesión creada con un generador de números aleatorios seguros y se intercambia mediante el canal de señalización TLS. En muchos casos, el tráfico multimedia de cliente a cliente se negocia a través de una señalización de conexión de cliente a servidor y se cifra con SRTP cuando se dirige directamente de cliente a cliente.

En los flujos de llamada normales, la negociación de la clave de cifrado se produce a través del canal de señalización de llamadas. En una llamada cifrada de un extremo a otro, el flujo de señalización es el mismo que en una llamada de Teams uno a uno normal. Sin embargo, Teams usa DTLS para derivar una clave de cifrado basada en certificados por llamada generados en ambos puntos de conexión de cliente. Dado que DTLS deriva la clave en función de los certificados de cliente, la clave es opaca para Microsoft. Una vez que ambos clientes están de acuerdo con la clave, el medio comienza a fluir mediante esta clave de cifrado negociada por DTLS a través de SRTP.

Para protegerse frente a un ataque de tipo intermediario entre el autor de la llamada y el destinatario, Teams deriva un código de seguridad de 20 dígitos de las huellas digitales SHA-256 de los certificados de llamada de punto de conexión del autor de la llamada y del destinatario. El autor de la llamada y el destinatario pueden validar los códigos de seguridad de 20 dígitos si se leen entre sí para ver si coinciden. Si los códigos no coinciden, un ataque de tipo intermediario interceptara la conexión entre el autor de la llamada y el destinatario. Si la llamada se ha puesto en peligro, los usuarios pueden finalizar la llamada manualmente.

Teams usa un token basado en credenciales para el acceso seguro a los relés multimedia mediante TURN. Los relés multimedia intercambian el token a través de un canal seguro de TLS.

Estándar federal de procesamiento de información (FIPS)

Teams usa algoritmos compatibles con FIPS para intercambios de clave de cifrado. Para obtener más información sobre la implementación de FIPS, vea la publicación 140-2 de Estándares Federales de Procesamiento de la Información (FIPS).

Autenticación de usuario y cliente

Un usuario de confianza es aquel cuyas credenciales se han autenticado mediante Microsoft Entra id. en Microsoft 365 o Office 365.

La autenticación consiste en proporcionar credenciales de usuario a un servicio o servidor de confianza. Teams utiliza los siguientes protocolos de autenticación, según el estado y la ubicación del usuario.

  • La Autenticación moderna (MA) consiste en la implementación por parte de Microsoft de OAUTH 2.0 para la comunicación de cliente a servidor. Ofrece características de seguridad, por ejemplo, Autenticación multifactor y Acceso condicional. Para poder usar MA, tanto el inquilino en línea como los clientes deben estar habilitados para MA. Los clientes de Teams entre equipos y dispositivos móviles, y el cliente web, son compatibles con MA.

Nota

Si desea obtener más información sobre Microsoft Entra métodos de autenticación y autorización, le ayudarán las secciones Introducción y Conceptos básicos de autenticación en Microsoft Entra ID. de este artículo.

La autenticación de Teams se realiza a través de Microsoft Entra ID y OAuth. El proceso de autenticación se puede simplificar de la manera siguiente:

  • La siguiente solicitud de emisión > de token de inicio de sesión > de usuario usa un token emitido.

Las solicitudes de cliente a servidor se autentican y se autorizan mediante Microsoft Entra ID con el uso de OAuth. Los usuarios con credenciales válidas emitidas por un socio federado son de confianza y pasan por el mismo proceso que los usuarios nativos. Sin embargo, los administradores pueden aplicar otras restricciones.

Para la autenticación multimedia, los protocolos ICE y TURN también usan el desafío de autenticación implícita que se describe en la RFC del IETF referente a TURN.

Herramientas de administración de Teams y Windows PowerShell

En Teams, los administradores de TI pueden administrar sus servicios a través del Centro de administración de Microsoft 365 o mediante el uso de Tenant Remote PowerShell (TRPS). Los administradores de inquilinos usan la Autenticación moderna para autenticarse en TRPS.

Configurar el acceso a Teams en su límite de Internet

Para que Teams pueda funcionar correctamente, por ejemplo, de modo que los usuarios puedan unirse a reuniones, etc., los clientes deben configurar el acceso a Internet para que se permita el tráfico UDP y TCP saliente a los servicios en la nube de Teams. Para obtener más información, consultedirecciones URL e rangos de direcciones IP de Office 365 .

UDP 3478-3481 y TCP 443

Los clientes usan los puertos UDP 3478 a 3481 y TCP 443 para solicitar el servicio audiovisual. Un cliente utiliza estos dos puertos para asignar puertos UDP y TCP, respectivamente, con el fin de permitir estos flujos multimedia. Los flujos multimedia en estos puertos se protegen con una clave que se intercambia a través de un canal de señalización protegida TLS.

Protecciones de federación de Teams

La federación ofrece a su organización la posibilidad de comunicarse con otras organizaciones para compartir mensajería instantánea y presencia. En Teams, la federación está activada de forma predeterminada. Pero los administradores de inquilinos pueden controlar esta federación a través del Centro de administración de Microsoft 365.

Solucionar amenazas para reuniones de Teams

Los usuarios empresariales pueden crear reuniones en tiempo real e invitar a usuarios externos que no tengan un id. de Microsoft Entra, Microsoft 365 o Office 365 cuenta, para que participen en estas reuniones.

Permitir que usuarios externos participen en reuniones de Teams puede ser útil, pero también conlleva algunos riesgos de seguridad. Para abordar estos riesgos, Teams usa estas medidas de seguridad:

Antes de la reunión:

  1. Decida qué tipos de participantes externos podrán unirse a sus reuniones:

    • El acceso anónimo permite unirse a la reunión de (1) usuarios no autenticados que no han iniciado sesión en el equipo (normalmente se unen a través del vínculo de la reunión en el explorador) y (2) usuarios autenticados de inquilinos externos que no tienen acceso externo establecido con el organizador y su organización.

    • A través del acceso externo , puede decidir qué usuarios y organizaciones externos autenticados podrán unirse a sus reuniones con más privilegios. Se considera que estos usuarios pertenecen a organizaciones de confianza.

    • El acceso de invitado le permite crear cuentas de invitado para que los usuarios externos a la organización tengan acceso a equipos, documentos en canales, recursos, chats y aplicaciones, manteniendo el control sobre sus datos corporativos.

Nota

Los usuarios y organizaciones que no tengan acceso externo con su organización se considerarán anónimos. En caso de que haya bloqueado el acceso anónimo, no podrán unirse a sus reuniones.

El acceso externo debe habilitarse bidireccionalmente, ambas organizaciones deben permitir el acceso externo mutuo.

Nota

Para obtener más información sobre el acceso de invitado y externo en Teams, consulte este artículo. En él se explican las características que los usuarios externos o invitados pueden ver y usar cuando inician sesión en Teams.

  1. Decida quién puede unirse a la reunión directamente y quién tendrá que esperar en la sala de espera para ser admitido por el organizador, el organizador colaborador o los usuarios autenticados con el rol de reunión Moderador:

  2. Decida si los usuarios anónimos y los autores de llamadas de acceso telefónico local pueden iniciar una reunión antes de que los usuarios de su organización, los usuarios de la organización de confianza y los usuarios con acceso de invitado se unan a la llamada.

Nota

La programación de reuniones está restringida a los usuarios autenticados de su organización o a los usuarios con acceso de invitado a la organización.

Durante la reunión:

  1. Asigne roles de reunión de participantes específicos para determinar los privilegios de control de la reunión. Los participantes de la reunión se dividen en grupos, cada uno con sus propios privilegios y restricciones, que se describen aquí.

Nota

Si está grabando reuniones y desea ver una matriz de permisos que tiene acceso al contenido, consulte este artículo y su matriz.

Modificar mientras se ejecuta la reunión:

  • Puede modificar las opciones de la reunión mientras una reunión está en curso. El cambio, una vez guardado, se notará en la reunión en ejecución en cuestión de segundos. También afectará a las repeticiones futuras de la reunión. Para obtener más información sobre cómo asignar estos roles, lea este artículo.

Nota

Los cambios en la configuración de administración de Teams pueden tardar hasta 24 horas.

Las 12 tareas principales de los equipos de seguridad para dar soporte al trabajo desde casa

Centro de confianza de Microsoft

Optimizar la conectividad de Microsoft 365 u Office 365 para usuarios remotos que usan túnel dividido de VPN