zoom seguridad

En el mundo del emprendimiento se vende con relativo acierto el mito de la muerte por éxito. De saber estar en el momento adecuado con el producto correcto… y no estar a la altura necesaria.

Y esto mismo podría parecer que le pasando a Eric Yuan, fundador y CEO de Zoom, la herramienta del momento en eso de hacer videollamadas grupales.

Con una Microsoft (Teams/Skype), una Google (Hangouts, Duo) y una Facebook (Facebook Messenger, WhatsApp) dormidas en los laureles, y otros sospechosos habituales del mundo corporativo como Webex o Jitsi cuyo uso es de todo menos sencillo, la propuesta Plug&Play de Zoom, unido a su dilatada versión gratuita (hasta 100 usuarios y hasta 45 minutos de videoconferencia), ha hecho que la compañía en apenas tres meses pasase de los 10 millones de usuarios que tenía hasta los más de 200 millones (ES) que sabíamos que tenía al menos hace una semana (y que previsiblemente serán MUCHOS más en el momento de publicar estas palabras).

Una herramienta que, recalco, estaba destinada a un uso principalmente corporativo, y por ende, en entornos de producción CONTROLADOS.

¿Por qué digo esto? Pues que como suele pasar cuando un evento de tal magnitud como es la crisis del coronavirus entra en escena, la llegada de millones de nuevos usuarios al mundo de las videoconferencias grupales ha hecho que, de pronto, parezca que Zoom es la aplicación más insegura y poco privada del mundo.

Los medios de comunicación día tras día se han empeñado en enseñar todos los fallos de seguridad, vacíos en la política de privacidad, o meras decisiones de diseño, como si esto fuera únicamente cosa de Zoom.

¿Qué problemas de seguridad y/o privacidad ha tenido Zoom y cómo está ahora?

A saber:

  • De lo primero que se oyó al respecto es que la aplicación de iOS filtraba datos a Facebook (EN), y presumiblemente a otras organizaciones: Un tema que se solucionó mediante una actualización apenas unos días más tarde, y que recalco pasaba no solo con Zoom, sino también con todas las herramientas y apps que utilizan la API de Facebook para algo (como puede ser realizar el registro o loguearse).
  • También que al parecer, y por un error en el diseño de la herramienta, varios miles de usuarios eran considerados como parte de una misma organización, lo que habilitaba un potencial ataque que permitía obtener datos personales de cada uno de ellos: A saber, email, nick y foto de perfil (EN). Punto.
  • El supuesto cifrado de punto a punto que, como ya ha ocurrido en otras ocasiones, no es tan seguro como a priori se vendía (EN/estos de marketing…), al aplicarse solo a la capa de transporte, y depender de unas claves que potencialmente podrían estar en manos de algunas organizaciones, el gobierno Chino incluido.
  • Otro error que potencialmente permitía robar credenciales de acceso en Windows (EN) mediante un enlace malicioso compartido en el chat de una videollamada: Debido, precisamente, al estar basado su desarrollo en una interfaz de Windows que ya tenía este fallo de seguridad, y que por cierto ya está parcheado (el fin de semana pasado sacaron una nueva versión que lo arreglaba).
  • El ya llamado zoombombing (EN), una broma a la que muchos trolls se han ido sumando estos últimos días y que se basa en interrumpir webinars y reuniones privadas de terceros con pornografía y demás acciones molestas: Y que realmente se debe a una mala gestión por parte del administrador de la videollamada en el caso de los eventos públicos, y que puede evitarse simplemente incluyendo una contraseña de inicio de sesión para las videollamadas privadas.
  • ACTUALIZACIÓN: Dos días después de publicar esta pieza supimos que se habían expuesto algo más de medio millón de cuentas de Zoom (EN): Pero no se debe a un fallo de seguridad, sino a que como ya ocurriera en mil y un casos, son cuentas ya robadas de otros servicios cuyos usuarios han utilizado la misma contraseña.

¿Es tan grave como parece?

Pues como he ido comentando, sinceramente no.

La compañía, de hecho, ha reconocido todos y cada uno de los errores y ha emitido varios comunicados en los que informa que durante los próximos meses van a dejar de seguir incluyéndole funcionalidades para centrase en parchear y corregir todos estos problemas (EN), en lo que a todas luces es un movimiento de comunicación que he recomendado seguir a todos mis clientes de crisis reputacionales.

A mi lo que de verdad me sorprende de todo esto es cómo esta «pequeña» compañía, que hace tan solo un año salía a bolsa, ha conseguido posicionarse como el referente incuestionable para estar conectados en estos días en el que varios nuevos millones de personas están teletrabajando, o han descubierto en la videollamada de Zoom una manera de estar un poco más cerca de sus amigos y familiares, sin que el sistema que mantiene a la herramienta funcionando explote.

Y sobre todo hay que tener en cuenta que el que se hayan descubierto ahora todos estos fallos de seguridad se debe exclusivamente a que es en este momento cuando hay muchos más ojos puestos en su funcionalidad, que es algo intrínsecamente positivo (muchas otras herramientas tienen los mismos problemas y no somos conscientes de ello), y que a fin de cuentas sorprende que el gran ganador de este mercado haya sido la casi desconocida Zoom, y no un gigante como Microsoft, Google, Facebook o Apple.

Un crecimiento exponencial que incluso en el caso de servicios creados por estas grandes corporaciones suele venir acompañado de graves problemas de accesibilidad y usabilidad.

No ha sido así con Zoom, pese a que son precisamente las videollamadas un recurso que por su propia ideosincrasia es muy susceptible a presentar problemas (debe ofrecer conectividad en tiempo real a sabiendas de que lleva asociado un consumo de ancho de banda tanto de entrada como de salida más que considerable).

Maldita sea, si es que hasta las videollamadas de WhatsApp hoy en día siguen teniendo una latencia terrible…

Es por ello que en la agencia seguimos utilizándolo.

Antes del confinamiento ya teníamos pagada una cuenta profesional (todo el equipo trabaja en remoto, y Zoom nos permite realizar las reuniones con clientes y webinars de forma sencilla), y el que se sepa ahora que la herramienta tiene estos fallos, y el ver cómo el equipo de Yuan se ha puesto manos a la obra para ponerle solución, no hace más que reafirmarme en que la compra de esa licencia ha sido todo un acierto.

Hacen falta más Zoom en la industria del software. ¡Vaya que si hacen falta…!

Artículo previamente publicado en HackerCar. (ES)