Recientemente se han encontrado más de una docena de problemas de seguridad y privacidad en Zoom y hoy en Planetared te vamos a poner al día de todos ellos.. Aquí hay una lista actualizada.
¿Eres usuario de Zoom? Parece que todo el mundo que se ha visto obligado a trabajar, o a hacer los deberes escolares, desde casa durante el cierre del coronavirus está usando la plataforma de videoconferencia para reuniones, clases e incluso encuentros sociales.
Hay buenas razones por las que Zoom ha despegado y otras plataformas no. Zoom es fácil de configurar, fácil de usar y permite que hasta 100 personas se unan a una reunión de forma gratuita. Simplemente funciona.
Pero hay un inconveniente. La facilidad de uso de Zoom hace que sea fácil para los alborotadores «bombardear» las reuniones abiertas de Zoom. La seguridad de su aplicación ha dejado un poco que desear.
También ha habido mucho escrutinio sobre la política de privacidad de Zoom, que hasta hace poco parecía dar a Zoom el derecho de hacer lo que quisiera con los datos personales de cualquier usuario.
En las denuncias más recientes, el 3 de abril se encontraron algunas fallas más graves en el software y el cifrado de Zoom, aunque la empresa ya ha abordado la nueva cuestión de los datos de Zoom que se están enviando a través de China.
La reacción contra Zoom ya ha comenzado. A partir del 6 de abril, las escuelas públicas de la ciudad de Nueva York se movilizaron para prohibir las reuniones de Zoom, y se informó de que otros sistemas escolares estaban haciendo lo mismo.
No estamos de acuerdo con la decisión de las escuelas de la ciudad de Nueva York, porque creemos que Zoom es seguro para usar en reuniones que no son altamente sensibles. Para las clases en la escuela, las reuniones después del trabajo, o incluso las reuniones en el lugar de trabajo que se apegan a la rutina de los negocios, no hay mucho riesgo en el uso de Zoom. Los niños probablemente continuarán acudiendo en masa a él, ya que incluso pueden usar los filtros de Snapchat en el Zoom.
En cuanto a las comunicaciones corporativas, eso depende de la empresa. Zoom comenzó como una aplicación empresarial, así que siempre ha estado orientada a clientes corporativos.
Dado el gran uso de la plataforma Zoom durante el bloqueo del coronavirus, y el casi duplicado de su cotización desde principios de febrero, Zoom ha sido objeto de un intenso escrutinio por parte de los profesionales de la seguridad y los defensores de la privacidad. Y vaya si han encontrado cosas.
Con esta cantidad de problemas, la gente está buscando otras opciones, así que echa un vistazo a nuestro enfrentamiento entre Skype y Zoom para ver cómo una antigua aplicación de video se ha adaptado para las videoconferencias. También hemos comparado Zoom vs. Google Hangouts.
Zoom se compromete a arreglar los defectos
En una entrada de blog del 1 de abril, el CEO y fundador de Zoom, Eric S. Yuan, reconoció los dolores de crecimiento de Zoom y prometió que el desarrollo regular de la plataforma de Zoom se pondría en espera mientras la compañía trabajaba para arreglar los problemas de seguridad y privacidad.
«Reconocemos que no hemos cumplido con las expectativas de privacidad y seguridad de la comunidad y las nuestras», escribió Yuan, explicando que Zoom ha sido desarrollado para grandes empresas con personal informático interno que puede configurar y ejecutar el software.
«Ahora tenemos un conjunto mucho más amplio de usuarios que están utilizando nuestro producto en una miríada de formas inesperadas, presentándonos desafíos que no anticipamos cuando se concibió la plataforma», dijo. «Estos nuevos casos de uso, en su mayoría de consumidores, nos han ayudado a descubrir problemas imprevistos con nuestra plataforma. Periodistas e investigadores de seguridad dedicados también han ayudado a identificar los ya existentes».
Para tratar estos problemas, escribió Yuan, Zoom estaría «promulgando una congelación de características, de forma efectiva e inmediata, y cambiando todos nuestros recursos de ingeniería para centrarnos en nuestros mayores problemas de confianza, seguridad y privacidad».
Entre otras cosas, Zoom también estaría «llevando a cabo una revisión exhaustiva con expertos de terceros y usuarios representativos para entender y garantizar la seguridad de todos nuestros nuevos casos de uso de consumidores».
Zoom ahora requiere contraseñas por defecto para la mayoría de las reuniones de Zoom, aunque los anfitriones de las reuniones pueden desactivar esa función. Las contraseñas son la forma más fácil de detener el bombardeo de Zoom.
Y el 8 de abril, el ex jefe de seguridad de Facebook y Yahoo, Alex Stamos, dijo que trabajaría con Zoom para mejorar su seguridad y privacidad. Stamos es ahora profesor adjunto en Stanford y es muy respetado en la comunidad de seguridad de la información.
La app sigue siendo segura en la mayoría de los casos
¿Todo esto significa que Zoom no es seguro de usar? No.
Sólo tienes que ser consciente de que el software de Zoom crea una enorme «superficie de ataque», como les gusta decir a los profesionales de la seguridad, y que los hackers van a tratar de llegar a ella de todas las maneras posibles. Ya están registrando muchos dominios falsos relacionados con Zoom y desarrollando malware con la temática de Zoom.
La ventaja es que si se encuentran muchos defectos en Zoom ahora y se solucionan pronto, entonces Zoom será lo mejor… y más seguro.
«Zoom pronto será la herramienta de conferencia más segura que existe», escribió el periodista técnico Kim Zetter en Twitter el 1 de abril. «Pero es una pena que no se hayan ahorrado la pena y que no hayan hecho algunas evaluaciones de seguridad propias para evitar este juicio a fuego».
Contrarian view: Zoom will soon be the most secure conferencing tool out there.
(But too bad they didn’t save themselves some grief and engage in some security assessments of their own to avoid this trial by fire) https://t.co/8BLeNJiV7V
— Kim Zetter (@KimZetter) April 1, 2020
A menos que estés hablando de secretos de estado o corporativos, o revelando información personal de salud a un paciente, Zoom debería estar bien para usar. Sólo requiere que los participantes de la reunión se registren con una contraseña.
