Su
utilización se ha disparado después de que se decretara el estado de alarma,
pero su uso masivo ha desvelado una serie de vulnerabilidades existentes en la
aplicación que se han ido subsanando.
La evolución de la pandemia del COVID-19 y el confinamiento asociado de los
ciudadanos ha traído consigo el uso generalizado de videoconferencias y
aplicaciones de chat como Zoom, Skype, WebEx, Houseparty, Google Meet
(Hangouts) o Microsoft Teams.
Concretamente,
los datos revelan que las videollamadas individuales y colectivas a través de
la aplicación Zoom se han
disparado un 4.076 % con respecto a las jornadas anteriores a que se
decretara el estado de alarma, según datos difundidos por Vodafone.
Sin
embargo, su uso masivo ha desvelado una serie de vulnerabilidades existentes en
la aplicación, lo que ha generado inquietud entre los usuarios. Esa
circunstancia se ha visto reflejada en las consultas recibidas a través del
número de WhatsApp 600 900 454 puesto
en marcha por EiTB con el objeto de hacer frente a los #Coronabulos.
La
página web Maldita.es (a
través de su sección Maldito Bulo),
con quien Euskal Irrati Telebista está
en contacto estos días para colaborar en poner freno a las fake news sobre el coronavirus,
ya ha tratado este tema, y esto es lo que se sabe
hasta el momento:
El medio estadounidense especializado en tecnología Vice fue
el que sacó a la luz uno de los primeros problemas detectados en Zoom recientemente.
Concretamente, el pasado 23 de marzo desveló que la aplicación que estuviese
instalada en dispositivos móviles con sistema operativo iOS (de Apple) compartía datos de los usuarios con Facebook, incluso en
los casos en que estos no estuviesen registrados a través de su cuenta de la
citada red social, algo que el servicio no especificaba en
sus políticas.
Entre
los datos que se enviaban a Facebook se encontraba la información de navegación del usuario en el servicio:
cuándo se abría la aplicación, detalles del dispositivo, ubicación, compañía
telefónica y un identificador publicitario único utilizado para la publicidad
dirigida.
Ante eso, Zoom publicó un
comunicado donde reconocía que las herramientas de
Facebook "recogían información innecesaria"
para el funcionamiento del servicio de videoconferencias y, por ello, decidió
eliminarlas de su aplicación para iOS.
De
esta manera, la autenticación en este servicio con la cuenta de Facebook deja
de ser posible desde dispositivos iOS, pero sigue estando habilitada en la
versión de Zoom para navegadores.
Dudas con el cifrado de extremo a extremo
Según Maldito Bulo, otro aspecto que ha generado controversia
es que la empresa ofrece como característica de su servicio que las comunicaciones
están encriptadas "de extremo a
extremo" (siempre y cuando se utilice el audio por
ordenador y no por el móvil) lo que supondría que nadie podría saber qué mensajes se están enviando entre los
contactos, pero según afirma Maldito Bulo eso "no es del todo correcto".
No
obstante, el medio especializado The Intercept explicó en una
investigación propia que Zoom utiliza un tipo de
tecnología para cifrar la conexión entre la propia aplicación y su servidor que en realidad no es "de extremo a extremo", sino
que es meramente de "transporte". Es decir, que una persona externa o
un servicio de terceros no podría leer
esos mensajes o escuchar las conversaciones, pero la empresa sí.
La empresa así lo reconoció en una publicación oficial,
pero sin incluir referencia a si cambiarán esta característica del servicio.
Problemas con los enlaces para
entrar en las llamadas
Los
chats de la aplicación también han dado lugar a la aparición de fallas de
seguridad, que ocurrían cuando los usuarios intercambiaban los enlaces para
poder entrar en los mismos con solo hacer clic. La manera en que se gestionaban
estos enlaces permitía a potenciales atacantes modificarlos, según advirtió el investigador de ciberseguridad
'g0dmode'.
Un
atacante podía usar esta técnica de forma maliciosa para hacerse con las
credenciales de los usuarios de Zoom que pinchasen en los enlaces, obteniendo
datos que podrían ser sensibles, como el nombre de usuario y su 'hash'.
También
podía usarse para abrir aplicaciones en el dispositivo del usuario que hiciese
clic en los enlaces, aunque en este caso los mecanismos de seguridad de Windows
muestran antes un mensaje pidiendo confirmación al usuario.
Zoombombing
Otro de los problemas más habituales con los que se
encontraban sus usuarios era que internautas que no habían sido invitados
aparecían por sorpresa en las teleconferencias, un fenómeno bautizado como zoombombing.
Los
hackers lograban acceder sin permiso a reuniones digitales de empresas, centros
educativos o incluso estamentos gubernamentales, y, además de violar la
privacidad de los participantes y acceder a la información que se estaba
tratando, en algunos casos las interrumpían con lenguaje obsceno e incluso
amenazas.
Para
evitar esas intromisiones, Zoom ha establecido la "sala de espera"
como opción predefinida. De esa forma, la persona que esté ejerciendo como
anfitrión del encuentro virtual tiene que aceptar una a una a cada nueva
persona que quiera participar de la videollamada, lo que evitaría casos de zoombombing.
La
opción se llama "sala de espera" porque el participante debe esperar
hasta ser aceptado, y es algo que ya existía en Zoom, pero que no venía como
opción predefinida, sino que debía ser activado deliberadamente por el
organizador de la reunión.
90 días sin nuevas funciones,
pero con soluciones
Pese a que las respuestas de la empresa con sede en San
José (California, EE. UU.) a este tipo de incidencias llegan con agilidad, Zoom
ha optado por congelar el lanzamiento de nuevas funciones durante 90 días
(desde el 2 de abril), para concentrar sus recursos en solucionar "los
principales problemas de confianza, seguridad y privacidad" presentes
actualmente en el servicio.
Tal
y como ha confesado la compañía en un comunicado, Zoom nació como un servicio
de reuniones virtuales para empresas, pero la actual situación de confinamiento
y su uso generalizado "presenta
desafíos que no se anticiparon cuando la plataforma fue concebida".
Entre
las medidas que tomará durante este periodo se encuentran una auditoría y
revisión de seguridad junto a expertos externos, la preparación de un informe
de transparencia para reflejar las peticiones externas de datos que reciben y
potenciar su programa de recompensas para quienes descubran vulnerabilidades.
Asimismo,
Zoom se ha comprometido a llegar a acuerdos con los responsables de seguridad
de otras empresas para adoptar buenas prácticas en este ámbito.
Herramienta adecuada para
escenarios sin "información sensible", según el CNI
Ante la controversia surgida, el Centro Criptológico
Nacional de España (CCN-CERT), adscrito al Centro Nacional de Inteligencia
(CNI), ha publicado una serie de pautas para mejorar la seguridad de las
reuniones virtuales y videollamadas.
Así,
entre otros aspectos, considera Zoom como una opción a tener en cuenta en
escenarios de teletrabajo como los actuales marcados por la crisis del
coronavirus "donde no se maneje información
sensible".
Según
se explica en el texto, se estima como "asumible el
riesgo de usar Zoom para reuniones que no sean muy sensibles en su contenido,
clases escolares y situaciones fuera de la oficina sobre asuntos
rutinarios".
No
obstante, señala que, ante las ya citadas vulnerabilidades, "Zoom ya ha publicado parches de seguridad y que pretende continuar
mejorando el producto". Por ello, recomienda
"actualizarlo a la última versión disponible y descargárselo de los
markets oficiales", ya que, de lo contrario, pueden utilizarse enlaces
maliciosos, distribuidos por los ciberatacantes,
que a través de técnicas de phishing redirijan a páginas fraudulentas desde las
que se descargan troyanos que podrían comprometer los equipos.
EiTB colabora con Maldito Bulo estos días en la lucha para hacer
frente a los bulos junto a VOST Euskadi y
la comunidad científica del programa de divulgación de Eva Caballero en Radio Euskadi, La Mecánica del
Caracol.
El 22 de abril de 2020, Zoom ha anunciado una
actualización de su software, donde, asegura, ha mejorado el sistema de
encriptación, para dar respuesta a las críticas recibidas por falta de
seguridad.
En
un comunicado, Zoom explica que su versión 5.0 añade soporte para el cifrado
con encriptación AES de 256 bits GCM, lo que proporciona "una mayor
protección para los datos de reuniones, y resistencia contra la
manipulación".
Esta
actualización, que estará disponible en esta misma semana, también permitirá
que el administrador de la cuenta pueda elegir qué regiones del centro de datos
usan sus reuniones y webinars (conferencias en línea) para el tráfico en tiempo
real a nivel de cuenta, grupo o usuario.
Por
otro lado, la empresa ha agrupado todas las opciones relativas a la seguridad
en un mismo icono, al que se accede a través de la barra de menú de la reunión
digital. Además, se ha activado la opción "sala de espera" por
defecto, y los anfitriones de las videoconferencias pueden denunciar a un
usuario cuya participación no ha sido permitida.
Fuente: eitb.eus/
No hay comentarios:
Publicar un comentario