¿Es seguro usar Zoom? Esto es lo que debe saber

Zoom, un servicio de videoconferencia creado para realizar seminarios y reuniones corporativas vía web, trascendió a algo más en medio del brote de coronavirus.

Con el número de usuarios diarios que explotó de 10 millones a 200 millones entre diciembre y marzo pasados, se convirtió en un foro para casi todo tipo de función social, incluidas las reuniones con amigos, sesiones de yoga, clases escolares, servicios funerarios, así como eventos de Pascua, Pésaj y (pronto) los rituales de Ramadán.

Pero apenas algunos comenzaron a usar Zoom, empezaron a escuchar ciertas razones por las que preferían mantenerse alejados. Los trolls han invadido reuniones para mostrar pornografía o hacer insultos racistas en las pantallas. Investigadores de seguridad dieron a conocer un informe tras otro sobre vulnerabilidades recientemente descubiertas, incluida la filtración de correos electrónicos y errores que podrían haber permitido que los piratas informáticos accedieran a las cámaras web.

A principios de este mes, Google advirtió a sus empleados que no usen la aplicación de escritorio de Zoom en sus computadoras de trabajo “debido a vulnerabilidades de privacidad y seguridad”. SpaceX, el Senado de EE.UU y el distrito escolar de la ciudad de Nueva York promulgaron restricciones similares.

Si se encuentra entre las decenas de millones de personas que se volvieron usuarios habituales de Zoom en las últimas semanas, es posible que se pregunte qué significa todo esto. Aquí hay una introducción a algunos de los fallos notables de privacidad y seguridad, e información sobre cómo mantener sus comunicaciones y datos seguros.

¿Zoom envía mis datos a Facebook?

Una investigación de Vice mostró que la aplicación de Zoom para iPhones enviaba datos sobre los dispositivos de los usuarios a Facebook, incluidos los de aquellos que no tenían cuentas de Facebook. La compañía fue castigada con al menos dos demandas en un tribunal federal, una realizada por un residente de California que alega que Zoom violó la nueva Ley de Privacidad del Consumidor del estado al revelar información a Facebook sin proporcionar a los consumidores un aviso adecuado o la posibilidad de optar por no participar.

El presidente ejecutivo de Zoom, Eric Yuan, señaló en una publicación de blog el 27 de marzo pasado que la empresa había eliminado el código que enviaba datos de los usuarios a Facebook en una versión actualizada de la aplicación iOS. La compañía actualizó su política de privacidad el 29 de marzo, después de una gran preocupación de los usuarios.

“Pienso que Zoom no fue completamente honesto”, aseveró el tecnólogo sénior de Electronic Frontier Foundation, Bill Budington. “Creo que están pasando por muchos dolores de crecimiento”.

¿De qué otra manera podría verse comprometida mi información?

Los informes de las vulnerabilidades de Zoom son anteriores a la crisis del coronavirus. En julio pasado, el investigador de seguridad Jonathan Leitschuh expuso una falla que permitía a piratas informáticos tomar las cámaras web de Mac a través de la aplicación. La compañía solucionó el problema después de que un centro de investigación de interés público presentó una denuncia ante la Comisión Federal de Comercio (FTC).

Miles de videos personales de Zoom se pudieron ver en la web abierta, incluidas sesiones de terapia individual, llamadas de telesalud y clases de primaria, informó el Washington Post. Además, se revelaron los nombres de las personas, los números de teléfono, las conversaciones íntimas, y los rostros y las voces de los niños fueron expuestos.

Los expertos afirman que la compañía ahora parece estar haciendo esfuerzos más serios para identificar y reparar rápidamente las vulnerabilidades. La firma creó un consejo asesor de directores de seguridad de otras compañías y contrató a Alex Stamos, el ex director de seguridad de Facebook, como asesor. “Se está gastando mucho dinero en el problema, para mejorar la seguridad. Eso no es insustancial”, declaró Leitschuh, quien descubrió la vulnerabilidad de las cámaras de computadoras Mac, el año pasado.

¿Las comunicaciones vía Zoom están encriptadas? ¿Es eso importante?

Zoom promocionaba sus comunicaciones como protegidas por un cifrado de extremo a extremo, lo cual hace que, en efecto, sea imposible para cualquiera -incluida la propia empresa- espiarlas. Sin embargo, recientemente, Intercept reveló que la compañía utilizó un tipo diferente de encriptación, llamada ‘de transporte’, que le permite decodificar el contenido de las comunicaciones.

Eso significa que la empresa podría ser hipotéticamente susceptible a la presión de las autoridades gubernamentales para divulgar las conexiones, comentó Bill Marczak, miembro del Citizen Lab e investigador postdoctoral en la Universidad de California en Berkeley.

Sin embargo, eso no hace que esas transmisiones sean especialmente vulnerables. Las llamadas a teléfonos celulares y Skype en la configuración predeterminada, por ejemplo, tampoco están encriptadas de extremo a extremo, y es poco probable que la persona promedio necesite ese tipo de seguridad. Pero los reporteros o disidentes bajo regímenes opresivos, los funcionarios del gobierno que discuten información clasificada o las grandes empresas que desean mantener la confidencialidad de sus estrategias comerciales podrían desear una plataforma más segura, señaló Budington.

¿Qué información le da Zoom a mi jefe o mis compañeros de trabajo?

Si ha participado en un seminario web largo y aburrido, tal vez pensó que no estaría mal revisar su correo electrónico o su muro de Facebook mientras tanto, para pasar el tiempo. Sin embargo, muchos se alarmaron cuando se reveló la existencia de una función de “seguimiento de la atención”, que permitía al anfitrión de la reunión ver cuándo los participantes se alejaban durante más de 30 segundos de la ventana de Zoom activa. La compañía anunció que había eliminado la función, en una publicación de blog del 2 de abril pasado.

Esa no es la única forma en que los anfitriones pueden recopilar información sobre los asistentes. También pueden grabar audio y video de las reuniones y guardar un registro de chats grupales. Algunos usuarios se sorprendieron al saber que si usan una herramienta que les permite guardar el registro de chat de una llamada en sus dispositivos locales, que muchos emplean como una forma de documentar los minutos de la reunión, ese registro incluirá chats privados que han enviado, además de los mensajes dentro del grupo.

¿Qué es el ‘Zoombombing’?

Así como Zoom es tan fácil de usar, también es sencillo para algunas personas abusar de la aplicación con la intención de sembrar caos. El “Zoombombing” ocurre cuando participantes no invitados interrumpen o estropean una reunión. A veces puede tratarse de un troll inofensivo, pero a menudo la conducta escala al nivel de acoso.

A medida que USC y los distritos escolares locales hicieron la transición a estas reuniones en línea, informaron que aparecían burlas racistas e imágenes pornográficas en sus comunicaciones. El martes, los estudiantes de Berkeley High School estaban en medio de una videoconferencia cuando un hombre se unió a la reunión de Zoom, expuso sus genitales y gritó obscenidades, informó el Mercury News.

El New York Times encontró decenas de cuentas en Instagram y en los paneles de mensajes de Reddit y 4Chan donde los usuarios coordinaban para compartir contraseñas de reuniones en Zoom, en pos de echarlas a perder.

La configuración predeterminada de Zoom permitía a cualquiera unirse a videollamadas si tenían el ID de la reunión, que tiene un número de 9 a 11 dígitos. Estas ID de reuniones son fáciles de adivinar: con una herramienta automatizada (llamada “war-dialing”), se puede acceder a miles de reuniones en un día, simplemente haciendo muchas deducciones.

¿Qué pasos puedo tomar para que el uso de Zoom sea más seguro?

Tenga cuidado acerca de cómo comparte las ID de las reuniones. No las informe públicamente.

Genere una nueva ID para cada reunión que inicie usando el panel de opciones, en lugar de utilizar su ID de reunión personal. De esa manera, si alguien obtiene su identificación personal, las futuras reuniones no serán interrumpidas por los Zoombombers.

También puede alternar la configuración para garantizar que los participantes necesiten una contraseña para acceder, lo cual lo protegerá aún más de esas interrupciones.

Habilite la función “Sala de espera” de Zoom, que permite a los anfitriones mantener a los posibles participantes en una fila digital hasta que se los apruebe para unirse a la sesión. A partir del 4 de abril, Zoom habilitó la función ‘Sala de espera’ de forma predeterminada, que exige configuraciones de contraseña adicionales para usuarios gratuitos. Zoom tiene una guía detallada de la función en su sitio web.

Además, puede desactivar una gran cantidad de funciones que podrían generar abusos, si es necesario, incluidos los chats privados, las transferencias de archivos y los fondos personalizados. La función de anotación, por ejemplo, podría permitir a los trolls hacer dibujos ofensivos. También puede alternar la opción “permitir que los participantes eliminados vuelvan a unirse”. Zoom tiene una guía para alojar controles en su sitio web.

Mantenga su aplicación de escritorio actualizada, para que cualquier ajuste que Zoom actualice respecto de las vulnerabilidades de seguridad sea agregado a su dispositivo.

Si desea ser aún más cuidadoso, use Zoom sólo en un dispositivo móvil, como un iPad o un teléfono Android, porque estas versiones obtienen revisiones en las tiendas de aplicaciones.

¿Qué plataformas serían alternativas?

Las comunicaciones de Signal y WhatsApp están encriptadas de extremo a extremo. WhatsApp permite hacer llamadas encriptadas hasta con cuatro personas. Esta es una alternativa adecuada para conversaciones altamente sensibles.

También hay otros servicios de videochat, como Skype, Google Hangouts, Webex de Cisco y FaceTime en dispositivos Apple. Microsoft ofrece potentes herramientas para conferencias web, audio y video a través de su plataforma Microsoft Teams.

Conclusión

La realidad es que nadie puede ver a sus amigos, compañeros de clase y quizá ni siquiera a sus compañeros de trabajo en este momento. No se permite comer en restaurantes, y definitivamente no se puede ir a bares. Zoom es una de las plataformas que la gente ha adoptado de manera ubicua para reemplazar estas interacciones en persona en medio del brote de coronavirus. Y funciona relativamente bien.

Es bueno usar Zoom, afirman los expertos. Sólo tenga en cuenta para qué lo está utilizando, y considere algunas precauciones.

Para leer esta nota en inglés, haga clic aquí.