Múltiples problemas de privacidad en Zoom

El distanciamiento social y las políticas de trabajo desde el hogar han cambiado la actividad gubernamental, económica y personal. Es por ello que Zoom se convirtió en una de las herramientas más populares de teleconferencia, obteniendo millones de usuarios casi de la noche a la mañana, debido a esta popularidad varios Investigadores de seguridad han decidido medir el nivel de privacidad que esta plataforma ofrece a sus usuarios.

Los Investigadores de Citizen Lab perteneciente a la Universidad de Toronto centraron sus esfuerzos en examinar el cifrado que protege las reuniones de Zoom, sus descubrimientos afirman que Zoom utiliza una clave AES-128 en modo de libro de códigos electrónicos (BCE) en lugar de usar el cifrado AES-256 como afirma en su documentación. Cabe destacar que Zoom tampoco utiliza el cifrado «extremo a extremo», es decir Zoom controla las claves de cifrado y, por lo tanto, puede acceder al contenido de las reuniones que realizan sus usuarios. Además las reuniones realizadas con Zoom se enrutan a través de China, al igual que las claves de cifrado utilizadas para proteger estas reuniones, en este sentido hay que tener en cuenta que las autoridades chinas podrían exigirle a la compañía que entregue estas claves de cifrados para descifrar el contenido de las reuniones, lo que incurriría en una violación de la privacidad.

Por otro lado los investigadores también afirman que encontraron un fallo de seguridad «grave» en la funcionalidad de la sala de espera de la plataforma lo cual han informado a la compañía de manera responsable y no han divulgado los detalles técnicos para evitar la explotación de este fallo.

Este no es el único problema de privacidad que presenta Zoom otro grupo de investigadores, esta vez del The Washington Post ha descubierto una web pública dónde se almacenaba miles de vídeos grabados por Zoom. Muchos estos vídeos incluyen información de personal, conversaciones íntima, sesiones de terapia, entrenamiento físicos, capacitaciones para empleados, clases con información de menores de edad y reuniones con datos financieros y confidenciales. Estos vídeos fueron grabados a través de Zoom y guardados en la nube sin contraseña, y debido a que Zoom nombra cada grabación de vídeo de manera idéntica, una simple búsqueda en internet puede revelar una larga lista de vídeos que cualquiera puede descargar y ver. Este problema se da debido a que algunos usuarios deciden grabar sus reuniones y eligen la opción de «grabar y guardar» en la nube. Cabe destacar que Zoom no realiza estas grabaciones de manera predeterminada, y los usuarios que han decidido «grabar y guardar» sus reuniones en sus propios ordenadores no se ven afectados por este problema de privacidad.

Además el FBI (Buró Federal de Investigaciones) ha recibido varios reportes de acoso cibernético al que se lo conoce como «Zoombombing». El Zoombombing hace referencia a los ciberdelincuentes que se conectan a las reuniones públicas para molestar a los participantes compartiendo contenido violento e incluso pornográfico, cabe destacar que no se trata de una vulnerabilidad de Zoom, más bien esto se da debido una configuración insegura por parte del anfitrión de la reunión. El Zoombombing también podría ocurrir en otras plataformas de videoconferencia si se configura en ellas una reunión pública, es por ello que se solicita extremar las precauciones con el fin realizar una reunión privada y segura.

Recomendaciones:

  • Utilice Zoom en su versión de navegador web, el mismo cuenta con propiedades de seguridad más robusta, ya que la transmisión de datos se produce a través de TLS.
  • No utilice las salas de espera de Zoom, en su lugar utilice la función de contraseña de Zoom para sus reuniones.
  • En caso de ser necesaria la grabación de una reunión, utilice el Software de Zoom y grabe la reunión en el equipo, con ello evitará que sus reuniones puedan ser accedidas por un tercero.
  • Cree reuniones seguras para evitar el Zoombombing, para ello:
    • No haga pública sus reuniones o aulas, Zoom cuenta con la opción de hacer que una reunión sea privada o de ingresar una contraseña para unirse a la misma.
    • No comparta el enlace a una reunión a través de las redes sociales. Es más seguro enviar el enlace directamente a las personas con quien se acuerde la reunión.
    • Cambie el uso compartido de la pantalla a «Solo host».
  • Actualice el software de Zoom siempre a la última versión disponible, para más información visite el siguiente enlace.

Referencias:

Compartir: