¿Es seguro utilizar Zoom para videollamadas individuales o colectivas?

La evolución de la pandemia del COVID-19 y el confinamiento asociado de los ciudadanos ha traído consigo el uso generalizado de videoconferencias y aplicaciones de chat como Zoom, Skype, WebEx, Houseparty, Google Meet (Hangouts) o Microsoft Teams.

Concretamente, los datos revelan que las videollamadas individuales y colectivas a través de la aplicación Zoom se han disparado un 4.076 % con respecto a las jornadas anteriores a que se decretara el estado de alarma, según datos difundidos por Vodafone.

Sin embargo, su uso masivo ha desvelado una serie de vulnerabilidades existentes en la aplicación, lo que ha generado inquietud entre los usuarios. Esa circunstancia se ha visto reflejada en las consultas recibidas a través del número de WhatsApp 600 900 454 puesto en marcha por EiTB con el objeto de hacer frente a los #Coronabulos.

La página web Maldita.es (a través de su sección Maldito Bulo), con quien Euskal Irrati Telebista está en contacto estos días para colaborar en poner freno a las fake news sobre el coronavirus, ya ha tratado este tema, y esto es lo que se sabe hasta el momento:

Enviaba datos a Facebook desde iOS aunque no se tuviese cuenta en la red social

El medio estadounidense especializado en tecnología Vice fue el que sacó a la luz uno de los primeros problemas detectados en Zoom recientemente. Concretamente, el pasado 23 de marzo desveló que la aplicación que estuviese instalada en dispositivos móviles con sistema operativo iOS (de Apple) compartía datos de los usuarios con Facebook, incluso en los casos en que estos no estuviesen registrados a través de su cuenta de la citada red social, algo que el servicio no especificaba en sus políticas.

Entre los datos que se enviaban a Facebook se encontraba la información de navegación del usuario en el servicio: cuándo se abría la aplicación, detalles del dispositivo, ubicación, compañía telefónica y un identificador publicitario único utilizado para la publicidad dirigida.

Ante eso, Zoom publicó un comunicado donde reconocía que las herramientas de Facebook "recogían información innecesaria" para el funcionamiento del servicio de videoconferencias y, por ello, decidió eliminarlas de su aplicación para iOS.

De esta manera, la autenticación en este servicio con la cuenta de Facebook deja de ser posible desde dispositivos iOS, pero sigue estando habilitada en la versión de Zoom para navegadores.

Dudas con el cifrado de extremo a extremo

Según Maldito Bulo, otro aspecto que ha generado controversia es que la empresa ofrece como característica de su servicio que las comunicaciones están encriptadas "de extremo a extremo" (siempre y cuando se utilice el audio por ordenador y no por el móvil) lo que supondría que nadie podría saber qué mensajes se están enviando entre los contactos, pero según afirma Maldito Bulo eso "no es del todo correcto".

No obstante, el medio especializado The Intercept explicó en una investigación propia que Zoom utiliza un tipo de tecnología para cifrar la conexión entre la propia aplicación y su servidor que en realidad no es "de extremo a extremo", sino que es meramente de "transporte". Es decir, que una persona externa o un servicio de terceros no podría leer esos mensajes o escuchar las conversaciones, pero la empresa sí. La empresa así lo reconoció en una publicación oficial, pero sin incluir referencia a si cambiarán esta característica del servicio.

Problemas con los enlaces para entrar en las llamadas

Los chats de la aplicación también han dado lugar a la aparición de fallas de seguridad, que ocurrían cuando los usuarios intercambiaban los enlaces para poder entrar en los mismos con solo hacer clic. La manera en que se gestionaban estos enlaces permitía a potenciales atacantes modificarlos, según advirtió el investigador de ciberseguridad 'g0dmode'.

Un atacante podía usar esta técnica de forma maliciosa para hacerse con las credenciales de los usuarios de Zoom que pinchasen en los enlaces, obteniendo datos que podrían ser sensibles, como el nombre de usuario y su 'hash'.

También podía usarse para abrir aplicaciones en el dispositivo del usuario que hiciese clic en los enlaces, aunque en este caso los mecanismos de seguridad de Windows muestran antes un mensaje pidiendo confirmación al usuario.

Zoombombing

Otro de los problemas más habituales con los que se encontraban sus usuarios era que internautas que no habían sido invitados aparecían por sorpresa en las teleconferencias, un fenómeno bautizado como zoombombing.

Los hackers lograban acceder sin permiso a reuniones digitales de empresas, centros educativos o incluso estamentos gubernamentales, y, además de violar la privacidad de los participantes y acceder a la información que se estaba tratando, en algunos casos las interrumpían con lenguaje obsceno e incluso amenazas.

Para evitar esas intromisiones, Zoom ha establecido la "sala de espera" como opción predefinida. De esa forma, la persona que esté ejerciendo como anfitrión del encuentro virtual tiene que aceptar una a una a cada nueva persona que quiera participar de la videollamada, lo que evitaría casos de zoombombing.

La opción se llama "sala de espera" porque el participante debe esperar hasta ser aceptado, y es algo que ya existía en Zoom, pero que no venía como opción predefinida, sino que debía ser activado deliberadamente por el organizador de la reunión.

90 días sin nuevas funciones, pero con soluciones

Pese a que las respuestas de la empresa con sede en San José (California, EE. UU.) a este tipo de incidencias llegan con agilidad, Zoom ha optado por congelar el lanzamiento de nuevas funciones durante 90 días (desde el 2 de abril), para concentrar sus recursos en solucionar "los principales problemas de confianza, seguridad y privacidad" presentes actualmente en el servicio.

Tal y como ha confesado la compañía en un comunicado, Zoom nació como un servicio de reuniones virtuales para empresas, pero la actual situación de confinamiento y su uso generalizado "presenta desafíos que no se anticiparon cuando la plataforma fue concebida".

Entre las medidas que tomará durante este periodo se encuentran una auditoría y revisión de seguridad junto a expertos externos, la preparación de un informe de transparencia para reflejar las peticiones externas de datos que reciben y potenciar su programa de recompensas para quienes descubran vulnerabilidades.

Asimismo, Zoom se ha comprometido a llegar a acuerdos con los responsables de seguridad de otras empresas para adoptar buenas prácticas en este ámbito.

Herramienta adecuada para escenarios sin "información sensible", según el CNI

Ante la controversia surgida, el Centro Criptológico Nacional de España (CCN-CERT), adscrito al Centro Nacional de Inteligencia (CNI), ha publicado una serie de pautas para mejorar la seguridad de las reuniones virtuales y videollamadas.

Así, entre otros aspectos, considera Zoom como una opción a tener en cuenta en escenarios de teletrabajo como los actuales marcados por la crisis del coronavirus "donde no se maneje información sensible".

Según se explica en el texto, se estima como "asumible el riesgo de usar Zoom para reuniones que no sean muy sensibles en su contenido, clases escolares y situaciones fuera de la oficina sobre asuntos rutinarios".

No obstante, señala que, ante las ya citadas vulnerabilidades, "Zoom ya ha publicado parches de seguridad y que pretende continuar mejorando el producto". Por ello, recomienda "actualizarlo a la última versión disponible y descargárselo de los markets oficiales", ya que, de lo contrario, pueden utilizarse enlaces maliciosos, distribuidos por los ciberatacantes, que a través de técnicas de phishing redirijan a páginas fraudulentas desde las que se descargan troyanos que podrían comprometer los equipos.

EiTB colabora con Maldito Bulo estos días en la lucha para hacer frente a los bulos junto a VOST Euskadi y la comunidad científica del programa de divulgación de Eva Caballero en Radio Euskadi, La Mecánica del Caracol.

El 22 de abril de 2020, Zoom ha anunciado una actualización de su software, donde, asegura, ha mejorado el sistema de encriptación, para dar respuesta a las críticas recibidas por falta de seguridad.

En un comunicado, Zoom explica que su versión 5.0 añade soporte para el cifrado con encriptación AES de 256 bits GCM, lo que proporciona "una mayor protección para los datos de reuniones, y resistencia contra la manipulación".

Esta actualización, que estará disponible en esta misma semana, también permitirá que el administrador de la cuenta pueda elegir qué regiones del centro de datos usan sus reuniones y webinars (conferencias en línea) para el tráfico en tiempo real a nivel de cuenta, grupo o usuario.

Por otro lado, la empresa ha agrupado todas las opciones relativas a la seguridad en un mismo icono, al que se accede a través de la barra de menú de la reunión digital. Además, se ha activado la opción "sala de espera" por defecto, y los anfitriones de las videoconferencias pueden denunciar a un usuario cuya participación no ha sido permitida.