Zoom: es un agujero de privacidad

por tecnología

Zoom ha sido la aplicación de mayor gusto para usar en video conferencias debido al confinamiento a causa del COVID-19. Simplemente es muy amigable de usar, para reuniones de familia o tele trabajo funcionaba.

En particular llevo dos semanas usando la herramienta para conversaciones de tareas pendientes o nuevos proyectos. Pero desde el inicio me dio problemas, por qué tuve que dar algunos permisos en mi computadora para que funcionara, esto me dio curiosidad y empecé a leer más sobre el tema.

Era perfecta para lo que estamos viviendo, pero ha crecido tanto en usuarios (paso de 10 millones a 200 millones de usuarios diarios) que muchos de sus agujeros de privacidad salieron a flote y las soluciones no son tan sencillas. Por cierto, los problemas vienen desde julio 2019.

Zoom y los graves fallos de seguridad

Después de hacer varias pruebas y leerme varios artículos de todo tipo, incluso hasta del FBI, te voy a dejar que es lo que está pasando con Zoom:

Malas prácticas de privacidad, malas prácticas de seguridad, y pésimas configuraciones de usuario

Y esto lo dice Bruce Schneier, un criptógrafo experto en seguridad informática.  Te voy a citar un ejemplo: se detecto según Motherboard TECH BY VICE  que Zoom para iPhone enviaba datos del usuario a Facebook, incluso si el usuario no tenía una cuenta en Facebook.  Zoom eliminó la función, pero piensa que más estarán haciendo.

El año pasado, se detecto una vulnerabilidad en el cliente de Mac. Zoom permitía a cualquier sitio web malicioso habilitar la cámara sin permiso. Pasando por alto la configuración de seguridad del navegador, habilitando la cámara web de un usuario sin el conocimiento del mismo.  Zoom parcheó esta vulnerabilidad el año pasado, pero aquí vez las malas prácticas  nuevamente.

La encriptación de Zoom no funciona

Aunque se cita en documentación que ofrecen encriptación de extremo a extremo, no es así. Sólo proporciona encriptación de enlace, lo que significa que todo está desencriptado en los servidores de la compañía.

La figura 5, tomada de Citizen Lab,  es una ilustración clásica de los peligros del modo ECB que cita usar Zoom para la encriptación. El contorno de un pingüino es todavía visible en una imagen codificada con el modo ECB.

Y para ponerle la cereza a este pastel,  según reporte de Citizen Lab, Zoom es una empresa con sede en Silicon Valley,  pero aparece como dueña de tres empresas en China a través de las cuales se paga a por lo menos 700 empleados para desarrollar el software de Zoom. No lo sé, pero esta combinación de China + Zoom + Privacidad me tiene pensando aún.  Podrían nuestras conversaciones estar pasando por servidores chinos?

La privacidad en Whatsapp, Telegram o incluso Signal nos preocupó de cierto modo localmente hace unos meses, pero nada que ver con lo que esta pasando con Zoom.

Zoombombings, podrían pasar en tus conversaciones

Que trolls se cuelen en tus videos conferencias como personas no invitadas es otro de los problemas de seguridad que enfrenta Zoom y se le llama «Zoombombing».  Las URLs de tus reuniones podrían ser encontradas en una simple búsqueda de Google o cuando haces reuniones a eventos abiertos, donde por mala práctica hasta se reutiliza y pueden quedar en mensajes o redes sociales.

El “Zoombombings” se volvió tan frecuente que el FBI emitió un comunicado advirtiendo de la amenaza y dejando una serie de recomendaciones en caso continúen usando la aplicación.

Revisá la configuración de Zoom para proteger tu privacidad

Mi experticia no es ciberseguridad, pero como profesional de tecnología es un compromiso compartirte buenas practicas y medidas para proteger tus datos o privacidad si estás usando esta herramienta:

  • No hacer públicas las reuniones. En Zoom, hay dos opciones para hacer una reunión privada: requerir una contraseña de reunión o usar la función de la sala de espera y controlar la admisión de invitados.
  • No compartas un enlace a una teleconferencia en redes sociales de acceso público sin restricciones. Solamente proporciona el enlace directamente a personas específicas.
  • Administra las opciones de compartición de pantalla. En el Zoom, cambia la pantalla compartida a «Sólo Anfitrión».
  • Revisá siempre que todos los asistentes usen la versión actualizada de la aplicación.  En cualquier momento Zoom puede reparar bugs y enviar a actualizar el software.
  • No uses tu Personal Meeting ID para la reunión. Mejor usa una ID por reunión, exclusiva para una sola reunión.
  • Si es una reunión donde el canal para avisar es un grupo de Facebook, en Twitter o en otra red social, considera la posibilidad de publicar sólo la identificación de la reunión y luego enviar por separado la contraseña a los participantes examinados poco antes de que comience la reunión.
  • Bloquea la reunión cuando todos los participantes esperados han llegado, y así puedes evitar que alguien más se una. Dale clic en participantes en la parte inferior de la ventana del zoom y seleccione bloquear reunión.
  • El tele trabajo es nuevo para vos o para tu empresa,  asegúrate que exista una política o guía de tele trabajo de tu organización. Donde se tome en cuenta el correcto uso de la herramienta y la información.

También como usuario asistente, si no tienes más remedio que usar el Zoom podrías usar plugin del navegador,  puede tener algunas propiedades de seguridad marginalmente mejores, ya que la transmisión de datos se produce a través de TLS.  De esta manera asistes a un reunión sin necesidad de descargar la aplicación y así no lo instalas en tu computadora. 

En resumen

En lo personal me preocupa que el CORE del desarrollo de esta aplicación este en manos Chinas, en estos tiempos da mucho que pensar ante la situación mundial del Coronavirus.  Por mi parte me encargare en dejar en sobre aviso a quienes pueda sobre este tema porque muchas empresas locales de todos los tamaños han estado utilizando Zoom.  Y por supuesto que ya tengo en mira mis alternativas tanto free como de paga para video conferencias.  Te adelanto las que puedes ir revisando:  CISCO Webex, Uberconference,  Google Hangouts, Jitsi Meet,  Google Meet y Microsoft Teams.

Como buena practica si llegaste hasta aquí compartí esta publicación, varias personas podrían necesitar estar informadas sobre el tema.


Ana Mayela Campos Rojas is an approved Educational Partner of the Interaction Design Foundation, the world’s largest UX Design learning community.Get 3 months of free membership to learn UX Design here

Share This