Madre Teresa de Calcuta
Los problemas
de privacidad y seguridad de Zoom
La
popularización de la ‘app’ de videoconferencias durante la cuarentena deja en
evidencia su capacidad tanto para proteger datos personales como para evitar
fraudes y ciberataques
Una
simple línea de código ha abierto la caja de Pandora de la privacidad y la
seguridad de la app de videoconferencias Zoom. Una línea con la que
la propia empresa activaba un kit de desarrollo de software –más conocido como
SDK por sus siglas en inglés– de Facebook que permitía tanto a la red social
como a la aplicación recopilar sin consentimiento de los usuarios determinados
datos como la IP, el tipo de dispositivo, el sistema operativo y la ubicación y
uso horario de la conexión. “Ha afectado únicamente al ecosistema de Apple.
Este lunes ya enmendaron el error, pero el daño está hecho. Han amasado datos
masivos tengas o no cuenta de Facebook. Ahora pueden perfilar a quienes se
hayan conectado”, asegura la abogada Natalia Martos, fundadora de Legal Army.
Ayer
mismo, el INCIBE advirtió
que Zoom ha publicado un aviso de
seguridad alertando sobre una vulnerabilidad para los usuarios
de Windows que podría permitir a los ciberdelincuentes robar información
confidencial y ejecutar archivos en el dispositivo de la víctima.
Todas
estas prácticas han llevado a la fiscal general de Nueva York, Letitia James, a
abrir una investigación judicial. En una carta remitida a la organización, pide
que especifique qué clase de información recopila, con qué propósitos y a qué
otras entidades facilita datos de los consumidores. “Es una empresa que no
tiene en cuenta la privacidad. Aunque sea difícil de probar, esto es una venta
de datos en toda regla. Ha sacado tajada. Nadie vende información gratuitamente. Más o menos es
lo que sucedió con Cambridge Analytica”, argumenta Martos. Pero esta
falta de privacidad solo representa la punta del iceberg de todas las polémicas
que ha destapado la cuarentena impuesta por el coronavirus en una aplicación
cuyas descargas han crecido gracias al confinamiento el 86% en un mes, de acuerdo
con el portal Crunchbase.
Una
investigación de The New York Times ha revelado este jueves que la aplicación contaba con
una función de minería de datos, nada más iniciar la sesión, que
unía automáticamente los nombres de los usuarios y las direcciones de correo
con los perfiles de LinkedIn. Daba igual que durante la llamada alguien
utilizara un pseudónimo u optara por el anonimato. Si un usuario activaba el
servicio LinkedIn Sales Navigator, podía acceder a los perfiles de esta red
social de otros participantes en la videollamada al clicar en un icono junto a
sus nombres. El CEO de la compañía, Eric S. Yuan, ha anunciado que durante los
próximos 90 días congelará este tipo de opciones para corregirlas y revertir
los problemas de seguridad y privacidad detectados.
Ataques
de trolls, intromisión en videollamadas ajenas, enlaces públicos de
las salas, una configuración predeterminada para el intercambio de archivos que
permite enviar malware… Una acumulación excesiva de
vulnerabilidades para el éxito cosechado recientemente. El uso de Zoom se ha popularizado durante esta crisis
gracias a la llegada a marchas forzadas del teletrabajo,
videollamadas entre amigos y familiares, clases a distancia y todo tipo de
conexiones en remoto.
Según
transcurren los días, las polémicas se multiplican. Algunos usuarios han confirmado que es relativamente
sencillo que alguien controle su actividad mientras están
usando la aplicación. Por ejemplo, la función One Zoom avisa a quien realiza la
llamada si un invitado ha estado más de 30 segundos sin el programa abierto en
primer plano. De esa manera un jefe podría saber si alguien ha seguido una
reunión con más o menos atención. La gestión de los correos electrónicos también
ha generado controversia. La aplicación agrega automáticamente a otras personas
a la lista de contactos de un usuario si se registran con un mail que
comparte el mismo dominio. Puede ayudar en la búsqueda de algún compañero
específico, aunque la cara oculta es que la compañía, al unificarlos como si
trabajaran para la misma organización, expone la información personal entre
todos. “Si esto ocurre en la Unión Europea, la multa sería impresionante”,
zanja Martos.
Zoom se ha defendido de las acusaciones con una
entrada en su blog corporativo. Argumenta que no vende ningún tipo
de información personal; que respeta leyes de privacidad como el Reglamento
europeo de protección de datos y la normativa californiana, conocida como CCPA;
y que no controla reuniones ni tampoco el contenido intercambiado.
Esto último
ha levantado cierto revuelo. Lo adelantaba el medio digital The
Intercept al afirmar que no existe un verdadero cifrado de extremo a
extremo en las videollamadas, sino uno TLS. Es decir, terceros no acceden al
audio y vídeo, pero la app sí puede hacerlo mediante el
servidor por el que discurre la información. “Continuaremos mejorando y evolucionando
nuestro enfoque de privacidad para asegurarnos de que estamos haciendo lo
correcto para nuestros usuarios”, precisa la empresa.
Entre
tanto río revuelto, los ciberdelincuentes aprovechan el momento para timar a
los usuarios. Pese a ser una aplicación gratuita, en las tiendas móviles
podemos encontrarla por unos cuatro euros. Es un ejemplo evidente de phishing –un
conjunto de técnicas que persiguen el engaño a una víctima ganándose su
confianza al hacerse pasar por una persona, empresa o servicio de
confianza–. Suplantan la imagen de Zoom por otra idéntica, como si
superpusieran la identidad falsa sobre la original. “No hay recetas
mágicas para detectarlo. Hay que tener mucha precaución y comprobar todo. Si
nos fijamos bien, las empresas suelen incorporan datos de autenticidad”,
sostiene Óscar Lage, experto en ciberseguridad de Tecnalia.
Reparar
parte de los errores resulta ya imposible. Como mantiene Lage, estos problemas
son el resultado de unos productos que, simplemente, se fijan en la
funcionalidad. “No se incluye la privacidad y la seguridad desde el principio.
La única solución que les queda es ir parcheando la app. Lo ideal
sería utilizar aplicaciones basadas en el código abierto, mantenidas por la
comunidad y auditables”, explica.
Existen más opciones para mantener el
contacto digital o seguir trabajando desde casa. Cada una con sus características y limitaciones, pero
el éxito de Zoom no ha monopolizado las videollamadas. “Google
Hangouts y Skype serían unas buenas alternativas. Están sometidas a una
privacidad muy estricta”, concluye Martos.
Artículo
de:
Fuente Bibliográfica:
No hay comentarios.:
Publicar un comentario
Tu opinion es importante y la valoramos. Opina y Comparte con nosotros.