La pandemia del coronavirus ha llevado a muchos países a poner en cuarentena a su población.
Posiblemente todos hemos participado o sabemos de reuniones virtuales de trabajo, fiestas, reuniones familiares e incluso reuniones políticas usando la aplicación de videoconferencia Zoom.
Justo ese uso crecimiento violento ha generado mucho ruido en lo que a la seguridad de la herramienta. Zoom ha recibido un golpe tras otro, unos que son lo suficientemente graves como para hacerte reconsiderar si deberías usar Zoom.
A continuación se resumen algunos de los problemas clave que han surgido hasta ahora.
No tiene realmente encriptación de extremo a extremo
El 31 de marzo, se reveló que la definición de Zoom de “cifrado de extremo a extremo” es diferente a la comprensión común de “cifrado de extremo a extremo”: aunque las reuniones de Zoom están encriptadas, la compañía tiene la capacidad de acceder al contenido de video y audio no encriptado de las llamadas realizadas a través de su servicio. En otras palabras, las llamadas no están encriptadas de extremo a extremo.
“Actualmente, no es posible habilitar el cifrado E2E para las reuniones de video de Zoom”, admitió un portavoz de Zoom.
La compañía dice que tiene “protección en capas” que evitan que “cualquier persona, incluidos los empleados de Zoom, accedan directamente a los datos que los usuarios comparten durante las reuniones, incluido, entre otros, el contenido de video, audio y chat de esas reuniones”.
Pero la verdad es que Zoom ha estado engañando a sus usuarios y tiene la capacidad de entregar el contenido de las videollamadas a las autoridades gubernamentales o la policía.
Envío de datos a Facebook
El 26 de marzo, se reveló que la versión iOS enviaba data a Facebook sin permiso de los usuarios. Entre los dato que enviaba estaban tiempos de inicio de sesión, detalles del dispositivo, área local y un identificador único relacionado con la publicidad.
Incuso enviaba esa información así el usuario no tuviera cuenta de Facebook.
Y recordemos que Facebook realmente no tiene muy buena fama en eso de mantener la privacidad de la información de sus usuarios.
Leer Facebook lo sabe todo: tus relaciones, fotos, lo que compras o buscas y dónde has estado
Leer Facebook debe pagar multa de 5 mil millones de dólares por violación de privacidad
Porteril al revuelo en las redes sociales, Zoom informó que removió el código que permitía enviar información a Facebook.
Una política de privacidad problemática
El 29 de marzo, Zoom anunció que había actualizado su política de privacidad, luego de que Consumer Reports descubriera que la versión anterior le habría permitido a la compañía recopilar información de las reuniones de usuarios, como video, audio y mensajes, y usarla para la segmentación de publicidad.
En una publicación de blog, Zoom escribió: “Queremos enfatizar que:
- Zoom no vende los datos de nuestros usuarios.
- Zoom nunca ha vendido datos de usuarios en el pasado y no tiene intención de venderlos en el futuro.
- Zoom no supervisa sus reuniones ni sus contenidos.
- Zoom cumple con todas las leyes, normas y regulaciones de privacidad aplicables en las jurisdicciones dentro de las cuales opera, incluidos el GDPR y el CCPA.
“No estamos cambiando ninguna de nuestras prácticas. Estamos actualizando nuestra política de privacidad para que sea más clara, explícita y transparente “.
El número de llamada
Cada llamada de Zoom tiene un número de identificación asignado para facilitar que las personas se unan, pero ha habido numerosos informes de trolls que bloquearon con éxito los chats, y abusaron de los participantes, simplemente introduciendo números de identificación aleatorios en el sistema. Incluso se conoció de un “enfermo” que adivinó el número de llamada de una clase virtual para niños y se mostró desnudo en el videochat.
Esta debilidad es evitable si usamos el password para ingresar a la reunión.
El poder de los administradores
El administrador tiene acceso una cantidad de información personalizada de la cual los invitados debemos estar al tanto:
- El organizador de la llamada Zoom puede monitorear las actividades de los participantes cuando comparten pantalla, viendo si las ventanas de la aplicación están activas o no.
- Los administradores pueden ver los paneles de actividad de usuario, incluyendo un ranking de usuarios basados en el número total de minutos de reunión.
- Si un usuario graba una conversación, los administradores pueden acceder a los contenidos.
- Durante las reuniones, los administradores pueden ver el sistema operativo, la dirección IP, los datos de localización e información sobre el dispositivo de cada participante.