Antes de comenzar, me gustaría aclarar que las ideas acá expresadas, no pretenden ser un análisis técnico, están basadas en mi experiencia personal como usuario de la aplicación, y en la lectura de diversas opiniones técnicas disponibles libres en Internet.
Son muchos los comentarios en redes sociales y medios de comunicación en general, que hacen referencia a fallas de seguridad en el servicio de video conferencias que ofrece Zoom. Pero ¿Cuánto de esto es verdad?, ¿Cuál es la magnitud real del problema?, ¿Cuáles aspectos ya fueron solucionados y cuales aún persisten?
Zoom Bombing
Una de las noticias más difundidas se relacionaba con que personas no invitadas ingresaban a las video conferencias, esto les permitía no solo escuchar y ver lo que allí se decía, sino también intervenir en ellas. En muchos casos lo que pasaba es que estas personas empezaron a sabotear las conferencias, lo que fue bautizado con el nombre de “Zoom bombing”. Esta situación fue calificada de inmediato como una falla de seguridad asociada a la aplicación, para la cual el fabricante incorporó algunas medidas orientadas a subsanar la situación, entre las que resaltan dos:
- La primera consiste, en que, desde el momento de la actualización, todas las conferencias requieren de forma predeterminada una clave de acceso.
- En segundo lugar, también ajustaron la configuración de forma tal que, al crear una nueva conferencia, la opción de sala de espera está activada de forma predeterminada, y de este modo asegurar que el anfitrión deba autorizar el acceso de todos los participantes independientemente que tengan o no la clave de acceso.
Con estos cambios, parámetros de seguridad que antes debían ser activados manualmente, ahora forman parte de la configuración predeterminada, mitigando así posibles riesgos.
Aplicaciones para Windows y MacOS
Otras noticias, se referían a que en los equipos con sistema operativo Windows, existía una falla que permitía a atacantes usar su función de chat para compartir enlaces maliciosos, y que una vez que se hacía clic en ellos, filtraban las credenciales de la red de Windows de la víctima. Respecto a MacOS, se divulgaron informaciones asociadas a que los equipos con este sistema operativo, corrían el riesgo de que un usuario malicioso, con acceso local al equipo, podría alterar el instalador de Zoom para obtener privilegios adicionales en la computadora o acceso a la cámara y micrófono del equipo. Estas tres fallas y otras han sido solucionadas en las actualizaciones publicadas los primeros días de abril.
Robo de credenciales
Existen reportes de robo de credenciales de acceso a Zoom, esta situación acarrea problemas adicionales como la posibilidad de espiar, suplantación de identidad o incluso extorsión. Al parecer estas credenciales se recopilan a través de ataques de relleno de credenciales (credential stuffing), es decir, haciendo uso de algoritmos y datos previamente recolectados (listas de usuario/contraseñas robadas), y mediante una programación de intentos de login, logran acceder a las cuentas. Lo importante acá son las estrategias de gestión personal de claves, es decir, construir claves seguras, no utilizar la misma clave en diferentes servicios y no colocar claves en equipos que puedan estar comprometidos. Adicionalmente sugiero el uso de la estrategia de autenticación de dos factores, en los casos en que está disponible y cuando no entorpezca la usabilidad, pues en mi experiencia, muy pocas personas los usan, aun estando disponibles, tal como se puede ver en Instagram, donde constantemente a famosos y no tan famosos les roban sus credenciales y secuestran sus cuentas, dejando claro que no usan esta funcionalidad. Así mismo son pocos los que utilizan la autenticación de 2 factores para acceder a sus cuentas en Gmail, entre muchos otros servicios.
Confidencialidad
Por último, hay quienes objetan que la comunicación de las conferencias no está cifrada de Extremo a Extremo (E2E) y que en cambio utiliza la tecnología de cifrado de Seguridad en la Capa de Transporte (TLS por sus siglas en inglés) con una llave compartida. A esto se añaden objeciones sobre la calidad del cifrado, aludiendo que usan cifrado AES-128, en vez de AES-256. Con respecto al primer punto, se entiende que existe técnicamente la posibilidad de que personas con acceso a los servidores de Zoom y con el debido conocimiento, pudiesen interceptar las video conferencias. Pero a modo informativo, y como ejemplo, tomemos en cuenta que, TLS con clave compartida, es la modalidad predefinida, y única disponible para clientes Linux o Web, en las conferencias Webex. Con respecto al segundo punto, solo a modo ilustrativo, este es el mismo esquema de cifrado que utiliza Google Meet entre otras. En resumen, la confidencialidad puede mejorar, pero no parece estar muy por debajo del estándar.
Los grandes opinan
Algunas compañías e incluso estados, han fijado posición respecto al uso de esta aplicación. Así es el caso de Google, propietarios de la aplicación de video conferencias Google Meet, quien prohibió a sus empleados el uso de Zoom. Otro ejemplo referido en las noticias es que el Departamento de Educación de la ciudad de Nueva York, tomó la decisión de dejar de usar Zoom y utilizar Microsoft Teams en su lugar. ¿Estarán estas decisiones basadas 100% en torno a la seguridad o están haciendo leña del árbol caído?
Si bien es cierto que Zoom al igual que otras aplicaciones disponibles, no estaba preparada para el crecimiento al que se vio expuesta, desde mi punto de vista tampoco se puede calificar como una empresa fallida.
Si el objetivo del uso de una video conferencia, es un tema de extrema confidencialidad, que no trasmitirías por correo electrónico y que no tratarías por teléfono, definitivamente no uses Zoom, pero probablemente tampoco ninguna otra aplicación de video conferencia. Por el contrario, si es un tema doméstico o académico elige la aplicación que mejores funcionalidades te aporte, que mejor ancho de banda te ofrezca, que entiendas y sepas utilizar.
¿Has tenido experiencias con el uso de esta aplicación que desees compartir? Me gustaría escuchar tu opinión.
