Yo se que ha habido una tonelada de información negativa alrededor de la seguridad de Zoom. Mucha de ella derivada del intempestuoso éxito que ha tenido la plataforma gracias a la pandemia.
También se que en las últimas 72 horas llegaron varios mensajes de WhatsApp que tienen a más de uno atemorizado preguntándose si es peligroso usar zoom o si a través de zoom le pueden robar sus cuentas de banco.
Tan sólo ayer recibí 4(!!) llamadas o mensajes de amigos y familiares al respecto.
Por eso, déjeme aclarar los problemas evidenciados en la plataforma, lo que ha hecho la compañía desde Enero para mitigar algunos y algunos tips para que asegure sus llamadas al máximo.
1. El (ya famoso) Zoom-bombing
Intrusos que entran en conversaciones de terceros bien sea para oír/ver lo que se está hablando en ellas o para compartir contenido obsceno con los asistentes a la reunión.
El Zoom-bombing es el resultado de 3 características de la plataforma:
- Un método de asignación de códigos para cada llamada que era demasiado sencillo y fácil de descifrar para los ciber-delincuentes.
SOLUCIÓN: la compañía ha modificado el mecanismo por medio del cual asigna las direcciones a las diferentes llamadas haciendo que sea más difícil adivinar la de una reunión que se esté llevando a cabo - El hecho de que la opción de “Sala de Espera” estuviera apagado por defecto.
SOLUCIÓN: desde hace ya unas tres semanas la opción que está por defecto activa es la de sala de espera para que cualquier persona que quiera unirse a la reunión deba ser aceptado por uno de los anfitriones de la llamada - La creación de reuniones sin clave por parte de los usuarios.
SOLUCIÓN: No cree reuniones sin contraseña. Y por favor no use contraseñas comunes.
2. Envío de información de Zoom a Facebook
La aplicación de Zoom para iOS estaba compartiendo información de uso (mas no el contenido) con Facebook.
SOLUCIÓN: la compañía actualizó, a finales de Abril, su aplicación para iOS eliminando la parte del código que compartía la información. ¿Ya actualizó usted la aplicación?
3. Problemas de Encripción
El uso de un protocolo de encripción, denominado AES-256 AECB cuyas llaves de encripción están en los servidores de Zoom alrededor del mundo, incluso en algunos en China donde la compañía tiene oficinas de desarrollo.
SOLUCIÓN(?) Este es el mismo protocolo que usa Microsoft en sus aplicaciones de Skype y Teams. Así que es más alaraca que cualquier cosa. Claro. Uno quisiera que las llamadas fueran encripatadas end-to-end como pasa en las llamadas de FaceTime. Pero no lo es. Eso no quiere decir que sea inseguro. Sólo que si una autoridad judicial le pide a Zoom que le muestre el contenido de una llamada específica, este está en capacidad de hacerlo.
¿Le preocupa el Gobierno Chino? Debería preocuparle más el Gobierno Norteamericano (¿ya se leyó Récord Permanente de Edward Snowden? Debería).
Hace un par de semanas la compañía adquirió Keybase, una compañía de mensajería con una base de seguridad y encripción interesante, la cual será utilizada para incrementar la seguridad de las llamadas de la plataforma.
¿Cuando fue la última vez que actualizó la aplicación de Zoom en sus dispositivos? Hágalo ya mismo, seguro que encontrará una que otra mejora.
4. Las políticas de privacidad de la plataforma
Alguien leyó la políticas de privacidad y se dio cuenta que uno le da permiso a Zoom de hacer lo que quiera con su información (no con el contenido de las llamadas sino con su información de usuario).
¿Le preocupa? De pronto no leyó las de Google (y Google Hangout y Gmail y YouTube) , las de Teams, las de Skype, las de Facebook, las del CoronApp y las del juego ese con el que pudo verse si fuera viejo/a o del sexo opuesto. No estoy diciendo que esté bien. Lo que estoy diciendo es que no es muy diferente de lo que hacen el resto de compañías en el mundo.
A propósito del tema, un par de artículos que le pueden servir ahora que es tan consiente del uso de su información: Así es cómo Google recoge información de Usted y de sus hábitos (incluso offline) y Esto es lo que Facebook comparte de Usted con sus anunciantes.
5. Problemas de Interface
Cuando hablo de interface me refiero a la interface entre la silla y el computador, o sea a usted, a mí y al resto de usuarios de la plataforma.
Usuarios que siguen cometiendo los mismos errores que comenten desde hace años y de los cuales todo el mundo les ha advertido una y otra vez.
No existe plataforma segura si los usuarios siguen usando contraseñas como 123456 o qwerty o algunas de las Top 25 contraseñas más usadas en el mundo.
No existe ningún tipo de seguridad si los usuarios siguen reutilizando la misma combinación de cuenta de correo + contraseña para sus cuentas de correo, para la cuenta de Facebook e Instagram, para la cuenta de Rappi, para el banco y para cuanto servicio usan en internet.
No es que “a través de Zoom le roben a uno la cuenta bancaria”…
Es que si usted usa en Zoom la misma combinación de correo y contraseña que lleva años usando en todas sus cuentas, la posibilidad de que lo roben es 101% (si, con el 1 al final).
¿Por qué? Porque esa combinación seguro ya fue filtrada cuando hackearon a Yahoo Mail, cuando Mensajeros Urbanos dejó un archivo con la información de sus usuarios en un servidor sin seguridad, cuando se le fugó a Novaestrat la información del 97% de los ecuatorianos o en alguna de las centenares Fugas de Información que se han dado en los últimos 18 meses.
Sii usted sigue llenando esos “juegüitos de pandemia” en Facebook en los que pone el Nombre, Primer Amor, Colegio del que se graduó, Nombre de la mascota, etc., etc. le está facilitando el trabajo a los ciberdelincuentes porque esas son las mismas preguntas de seguridad que su banco le pide para validar su indentidad!!!!!
Si quiere seguir usando Zoom, hágalo. Pero no de papaya.
Y si no quiere seguir usando Zoom, buena suerte porque si comete los mismos errores aquí en Teams, en Hangouts, en HouseParty o a donde termine migrando, va a tener los mismos riesgos que si se queda. O a lo peor más porque tendrá los que ya dejó aquí más lo que cree allá.