Los problemas de privacidad y seguridad amenazan el éxito de Zoom

Las aplicaciones de videollamada y videoconferencia son algunas de las que más han crecido en tiempo de uso y número de usuarios a raíz de la cuarentena en muchos países, que ha llevado al aislamiento domiciliario de la mayoría de ciudadanos de países de todo el mundo. Entre ellas, una de las que más ha crecido es Zoom. Por muchos motivos: su manejo es sencillo, es gratis, permite instalar fondos y funciona tanto en ordenadores como en dispositivos portátiles. Además, cuando otras ofrecen problemas de rendimiento, Zoom ha sido la solución en muchos casos, porque a pesar del aumento del tráfico en la Red y del aumento exponencial de sus usuarios, quienes participan en una videollamada no experimentan generalmente problemas de conexión o calidad.

Pero Zoom, que ha pasado en muy poco tiempo de 10 millones de usuarios diarios a más de 200 millones, ha experimentado en las últimas semanas muchos problemas por la salida a la luz de fallos de seguridad y privacidad en la aplicación, tal como apuntaban en MuySeguridad. Para empezar, a pesar de que sus creadores prometen que ofrece cifrado de extremo a extremo, no es así.

Después de una investigación quedó probado que lo que ofrece es TLS, y que en Zoom se refieren a esto como cifrado de extremo a extremo no es así. Lo que hacen es aplicar su propia definición de «punto a punto», un recurso que genera confusión entre sus usuarios. Además, la falta de este cifrado abre la puerta a que se puedan interceptar los mensajes de audio y vídeo enviados a través de la aplicación. Incluso desde la propia empresa.

Este no es el único problema de seguridad y privacidad en Zoom. Poco días después, después de otra investigación de Motherboard, se hizo público que Zoom compartía datos de sus usuarios con Facebook. Al parecer, esto afectaba únicamente a los usuarios de Zoom desde iPhone, y daba lo mismo si los usuarios afectados tenían o no cuenta en Facebook. La red social recibía sus datos tanto si lo tenía como si no. Además, la app no avisaba de ello en sus políticas de seguridad.

Por si fuera poco, según Betanews, se descubrió que zoo, estaba dirigiendo algunas llamadas hechas en Norteamérica a través de China. Así lo han manifestado varios investigadores de seguridad de Citizen Labs, que durante unas pruebas descubrieron que las claves de cifrado y descifrado se enviaron a través de un servidor situado en Pekín.

La compañía, tras confirmar este hecho, tuvo que disculparse por ello. También lanzó una actualización de la herramienta que eliminaba el envío de información a Facebook, puesto que ya no utilizaba su SDK. Pero los fallos de la app no quedaron aquí. Otra investigación, también de Motherboard, desveló que la herramienta estaba filtrando direcciones de correo electrónico y fotografías de usuarios a terceros. Además, daba a extraños la posibilidad de empezar una videollamada con otros usuarios de Zoom desconocidos.

Este último fallo se debe a un problema en los ajustes de la sección Directorio de empresa, que añade automáticamente a otras personas a la lista de contactos de un usuario si se conectaron a la aplicación con una dirección de correo electrónico que tenga el mismo dominio que la suya. Esto facilita la localización de un colega de trabajo, pero los que acceden con su cuenta personal pueden ver que su lista de contactos se llena de miles de extraños con su mismo dominio, que si es gmail.com o outlook.com puede llevar a miles de personas desconocidas en los contactos.

A la vista de lo sucedido y de las críticas recibidas, desde Zoom decidieron tomar cartas en el asunto, y anunciaron su decisión de hacer una pausa en el lanzamiento de nuevas funciones para corregir sus problemas de seguridad y privacidad. Fue el propio CEO de la empresa, Eric S. Yuan, el que ofreció detalles de los nuevos planes de la empresa en un post en su blog. En él se puede ver que, a lo largo de los próximos tres meses, la compañía va a dedicar más recursos a identificar y corregir problemas, además de ser más transparentes sobre el proceso.

La compañía ha confirmado que va a llevar a cabo una revisión exhaustiva de la herramienta, con terceros y usuarios representativos de Zoom, con el objetivo de comprender y asegurar la seguridad de la aplicación. También van a redactar un informe de transparencia con información detallada sobre peticiones de datos, registros o contenido, así como a mejorar su programa de búsqueda de bugs.

Por otra parte, van a poner en marcha un consejo CISO en colaboración con otros CISOs del sector para facilitar el diálogo sobre buenas prácticas de seguridad y privacidad, y a poner en marcha varios test de penetración simultáneos para identificar y corregir problemas.

Pero esto no ha bastado para acabar con la desconfianza de muchos usuarios, que han decidido dejar de utilizar la aplicación. Así han hecho, según el Washington Post, muchos colegios estadounidenses, que hasta ahora la usaban para impartir clases online durante la crisis del coronavirus.

Entre los lugares en los que ya ha entrado en vigor esta prohibición se encuentra la ciudad de Nueva York. El rector de su Departamento de Educación, Richard A Carranza, ha enviado un email a los directores de los colegios pidiéndoles que dejen de utilizar la herramienta tan pronto como sea posible. En otras zonas de Estados Unidos, como las del Condado de Clark en Nevada, muchas escuelas han tomado la misma decisión. En prácticamente todos los casos, el cambio se ha hecho de Zoom a Microsoft Teams, que es compatible con la Ley de privacidad y derechos educativos de la familia, la FERPA. Mientras, la mayoría de escuelas públicas de Utah y las del estado de Washington están también buscando alternativas.