¿Es seguro el uso de Zoom?

¿Es seguro el uso de Zoom?

Con el estallido de la pandemia de COVID-19, Zoom vio un pico masivo de usuarios debido a los pedidos de permanencia. A finales de marzo de 2020, se empezaron a reportar problemas el resumen total de todos los fallos de seguridad descubiertos en Zoom desde marzo; he aquí algunos de los más destacados.

26 de marzo: Una investigación descubre que Zoom está enviando datos de los usuarios a Facebook sin permiso. Al día siguiente, Zoom retira la recopilación de datos de Facebook.

30 de marzo: otra investigación descubre que Zoom no utiliza el cifrado de extremo a extremo, se informa por primera vez de la existencia de bombas en Zoom, y se informa de múltiples fallos en las versiones de Zoom para Windows y MacOS.

1 de abril: Zoom trata las direcciones de correo electrónico con el mismo dominio (por ejemplo, los ISP, pero no los servicios sólo de correo electrónico como Gmail) como si pertenecieran a la misma empresa, lo que permite a innumerables usuarios acceder a nombres, fotos y direcciones de correo electrónico de otros usuarios. El director general de Zoom, Eric Yuan, emite una disculpa pública, y Zoom congela todos los lanzamientos de funciones para centrarse en las correcciones de seguridad.

2 de abril: Se descubre una función de extracción de datos que permite a algunos usuarios acceder a los perfiles de LinkedIn de otros usuarios de Zoom.

3 de abril: Se descubren grabaciones de miles de reuniones de Zoom, muchas de ellas con información privada, que pueden verse libremente y sin protección en la web. Zoom emite otra disculpa y revela que está utilizando el cifrado AES-128 en lugar del mucho más seguro AES-256.

5 de abril: Zoom admite en un comunicado que algunas llamadas estaban siendo enrutadas accidentalmente a través de un servidor de lista blanca ubicado en China.

6 de abril: Se encuentra la primera colección de cuentas de Zoom a la venta en la dark web.

13 de abril: Se encuentran otras 500.000 cuentas de Zoom a la venta en la web oscura, muchas de ellas por tan solo unos céntimos.

16 de abril: Se descubren dos nuevos fallos de privacidad: Uno de ellos permite a un atacante ver y descargar los vídeos de las reuniones de Zoom almacenados en la nube a través de un enlace no seguro, y el segundo permite ver las grabaciones de las reuniones eliminadas en la nube durante horas después de su eliminación.

20 de abril: antiguos ingenieros de Dropbox, socio de Zoom, revelan que la empresa conocía un exploit para Mac de 2019 meses antes de abordarlo finalmente.

22 de abril: Investigadores de seguridad descubren un fallo en Zoom que, con el malware adecuado, podría permitir la grabación de una reunión sin que el anfitrión o los asistentes lo sepan, incluso si la grabación está desactivada.

28 de abril: Un informe de los servicios de inteligencia del gobierno estadounidense advierte que Zoom podría ser vulnerable al espionaje de gobiernos extranjeros.

8 de mayo: la oficina del fiscal general de Nueva York cierra su investigación sobre los problemas de seguridad de Zoom, citando el aumento de la seguridad en Zoom 5.0 que llevó al Departamento de Educación de la ciudad de Nueva York a permitir su regreso a las aulas. Continúan los litigios en Connecticut y entre Zoom y los inversores/accionistas.

Zoom ha emitido numerosas disculpas y se ha comprometido a mejorar su seguridad.

Algunos de los problemas de seguridad, como el bombardeo de Zoom, pueden solucionarse si los usuarios toman medidas para proteger sus reuniones de vídeo, y Zoom ha activado por defecto muchas de las funciones de seguridad necesarias para ello. Otros problemas, como la mala codificación, la falta de encriptación de extremo a extremo durante las reuniones y el robo de cuentas, no pueden evitarse con los buenos hábitos de los usuarios de Zoom.

Zoom lanzó Zoom 5.0 a finales de abril de 2020, solucionando muchos de los problemas de seguridad mencionados anteriormente.

Las características y mejoras de Zoom 5.0 incluyen:

  • Encriptación AES de 256 bits, que pone a Zoom en línea con otras aplicaciones de videoconferencia;
  • Controles de enrutamiento de datos, que permiten a los administradores de cuentas controlar a través de qué centros de datos se enrutan las reuniones, probablemente para solucionar el enrutamiento accidental de llamadas a China;
  • La reubicación de los ajustes de seguridad en un menú para los anfitriones de las reuniones, situado en la barra inferior durante una llamada de Zoom;
  • La sala de espera está ahora activada por defecto;
  • Las contraseñas de las reuniones están ahora activadas por defecto, y los administradores de cuentas pueden establecer sus propias reglas de complejidad de las contraseñas;
  • Las grabaciones en la nube están ahora protegidas por contraseña;
  • Cambios en el intercambio de contactos para eliminar las fugas de información de los mismos;
  • Cambios en el panel de administración que permiten a los administradores hacer un seguimiento de cómo se conectan las reuniones a los centros de datos;
  • Las notificaciones de chat pueden, opcionalmente, no mostrar una vista previa de los mensajes;
  • Los códigos de identificación de reuniones no personales se han alargado a 11 dígitos; y
  • Las opciones de invitación y los ID de reunión se han reubicado en el menú de participantes para dificultar que se compartan accidentalmente los ID de reunión.

Zoom dijo que la versión 5.0 es un hito clave en su plan de seguridad de 90 días, con el CEO de Zoom Eric Yuan diciendo que la compañía está trabajando para ganar la confianza de los clientes a raíz de una larga lista de incidentes de seguridad.

A partir de enero de 2021, Zoom ha llegado a la versión 5.4.6, que ha añadido funciones adicionales de seguridad y calidad de vida como:

  • La posibilidad de que los anfitriones pongan en pausa el audio, el vídeo, la pantalla compartida y el chat de texto para eliminar a los miembros molestos.Las actividades de los participantes, como las salas de reunión, también pueden cerrarse a voluntad
  • Se ha añadido la posibilidad de denunciar a los usuarios, que los sacará de una reunión y enviará una alerta al equipo de confianza y seguridad de Zoom.
  • Los participantes individuales también pueden denunciar a los usuarios problemáticos (los administradores pueden activar o desactivar esta función).
  • También se anunciaron varias características adicionales en Zoomtopia, la conferencia online de Zoom que tuvo lugar en octubre de 2020. Entre ellas se encuentran:
  • El despliegue oficial del cifrado de extremo a extremo para todos los usuarios, que estuvo disponible a finales de octubre de 2020
  • Nuevos SDKs personalizables
  • La introducción de Zapps (aplicaciones de Zoom), que pueden ser escritas por desarrolladores propios y de terceros
  • Una nueva plataforma llamada OnZoom, que permite a los usuarios de Zoom crear clases monetizadas, eventos de recaudación de fondos, actuaciones y otros eventos con entradas para tantas personas como permita su licencia particular (gratuita o de pago)

Zoom también ha anunciado nuevas funciones para su plataforma de comunicación unificada, entre ellas

  • La posibilidad de que los anfitriones de las reuniones establezcan fondos personalizados para todos los participantes
  • Compatibilidad con dispositivos domésticos inteligentes como Facebook Portal, Amazon Echo Show y Nest Hub Max
  • Nuevas funciones de pizarra blanca
  • Soporte de vídeo en las salas de espera

La última versión de Zoom puede descargarse desde Zoom.us, y quienes tengan instalaciones actuales de Zoom deberían actualizar sus aplicaciones inmediatamente. La aplicación de escritorio de Zoom también pedirá a los usuarios que descarguen la última versión si no está actualizada.

Deja un comentario