Ante el repentino auge en la demanda de soluciones para smart working, una opción que se ha popularizado con literalmente millones de usuarios es Zoom. Esta app de videoconferencias Freemium se ha situado en el punto de mira y está ya en boca de todos, aunque no siempre por buenos motivos.
La popularidad de Zoom se debe, probablemente, a que cumple con lo que promete: proporciona una forma rápida y accesible de conectar personas en vídeo (a pesar de no ofrecer el grado de cifrado de extremo a extremo que promete).
En un mundo ideal, esto sería todo lo que un usuario medio espera obtener de una aplicación para videoconferencias. Sin embargo, hay un problema: vivimos en un mundo repleto de amenazas a la seguridad y la privacidad.
En consecuencia, el uso de Zoom plantea serios problemas para las empresas y los usuarios individuales. Porque, en realidad, Zoom no realiza muchos esfuerzos para mantenerte a salvo de las amenazas. De hecho, lo que hace es dejarte aún más expuesto a estos peligros.
Vamos a repasar los principales fallos de Zoom en materia de seguridad y privacidad, comparándolos con las soluciones que ofrece Wildix.
¿Seguridad? Ni por dentro ni por fuera
Una de las opciones más características de Zoom es que permite a terceros participar en videoconferencias sin invitación. De hecho, esta práctica es tan común que ya ha sido bautizada como “Zoombombing,” un término que incluso el FBI ha reconocido al advertir de este tipo de ataques.
Este asunto ha atraído mucha atención por las desconcertantes interrupciones de los Zoombombers: gritos obscenos o material sexual explícito han irrumpido en las pantallas de los asistentes a otras reuniones con el objetivo de molestar y causar perturbaciones.
Estas intrusiones son posibles gracias al relajado concepto de seguridad que aplica Zoom a sus conferencias. El principal problema es que las URL de las conferencias de Zoom utilizan un código numérico de 9 a 11 dígitos, facilitando que los usuarios con malas intenciones puedan entrar en una sala de conferencias mediante un ataque de fuerza bruta. Esto implica que las conferencias de Zoom pueden ser interrumpidas fácilmente incluso si la sala se ha mantenido en secreto. Para complicar el asunto todavía más, hasta hace muy poco, las medidas preventivas de Zoom contra este tipo de ataques, como el bloqueo de contraseñas y salas de espera, estaban desactivadas por defecto.
Podemos concluir que el Zoombombing no es consecuencia de un error del usuario, sino de un fallo de diseño de la aplicación. En otras palabras, la seguridad de un programa solo es buena en la medida en que un usuario medio puede mantenerla. Por lo tanto, es esencial que el software de comunicación sea seguro de forma automática, sin que resulte necesario para el usuario final recurrir a guías de usuario o tutoriales.
Sin embargo, con Zoom ocurre todo lo contrario: en lugar de garantizar la seguridad por sí mismo, la responsabilidad recae sobre el usuario que debe entender la plataforma al detalle si no quiere quedar expuesto a los fallos de seguridad.
El diseño defectuoso de Zoom es todavía peor en la extraña opción de la app de utilizar herramientas preinstaladas en el software para Apple. Este código, según los expertos en seguridad, permite a Zoom realizar instalaciones en macOS sin permiso del usuario… un comportamiento habitual del malware, no de las soluciones para conferencias.
Esto no implica que Zoom sea malicioso en sí, el problema viene porque puede convertirse en un cómplice involuntario del malware. Como la preinstalación explota al máximo los permisos que tiene la app, los virus podrían aprovechar Zoom para grabarte sin que lo sepas.
Sí, usando Zoom en un Macbook, es mucho más fácil que el malware piratee tu webcam y tu micro.
Por el contrario, con Wildix, estas vulnerabilidades no existen en absoluto.
En primer lugar, el problema con los invitados no deseados en las conferencias está automáticamente solucionado gracias a una URL alfanumérica mucho más compleja. Al incluir números y letras aleatorios en las URL de las videoconferencias, resulta mucho más difícil para los intrusos acceder (y por supuesto interrumpir para molestar) en una conferencia.
En cuanto al malware, el problema se soluciona con un diseño basado en el navegador. Al utilizar WebRTC, Wildix necesita explícitamente tu consentimiento para acceder a tu micro y a tu webcam desde nuevos dominios. Lo que es aún más importante: el programa es excepcionalmente difícil de hackear gracias al prácticamente impenetrable diseño de WebRTC.
En materia de seguridad, Wildix opera de forma eficiente y transparente desde el minuto cero.
Zoom, sin embargo, utiliza un diseño que no rinde cuentas a los usuarios sobre su política de seguridad.
Una red muy poco privada
El secretismo de Zoom sobre la seguridad también se extiende a su política de privacidad, que el experto en ciberseguridad Doc Searls describe como “espantosamente abierta” con las compañías dedicadas al seguimiento de anuncios.
Según una queja de Consumer Reports, la antigua política de privacidad de Zoom permitía al software almacenar los datos capturados durante una videoconferencia – incluyendo absolutamente todo, desde tu cara hasta los objetos visibles en la pantalla – y además vender tus datos con fines de mercadotecnia.
Por fortuna, esta práctica parece haber terminado con la última actualización de la política de privacidad de Zoom. Sin embargo, no deja de ser preocupante si nos planteamos los motivos por los que una medida así pudo ser inicialmente incluida, teniendo en cuenta que un desarrollador competente de conferencias webs debería generar ingresos con su propio software y no recopilando datos de este modo.
Todavía resulta más preocupante el modo en que Zoom gestiona las grabaciones de las videoconferencias. Tal y como reveló el Washington Post, cuando Zoom almacena una conferencia grabada, el sistema guarda el archivo en una URL pública por defecto . De hecho, es tan pública, que es posible encontrar las grabaciones de Zoom con una sencilla búsqueda en Google.
Por defecto, Zoom literalmente deja las conferencias a disposición de todo Internet -y por tanto del mundo entero. Si bien es cierto que las opciones de usuario y los nombres pueden añadir una capa más de privacidad a estas grabaciones, resulta alucinante que semejante falta de seguridad sea posible.
Todavía hay más… es posible que tu cuenta de Zoom no sea segura aunque consigas que no se graben las conferencias. A partir de enero de 2020, las bases de datos que contienen nombres y contraseñas de cuentas de Zoom han sido puestas en circulación y vendidas en la dark web. Como Zoom ha crecido en número de usuarios, esta base de datos no ha hecho más que crecer y ganar valor para los hackers, sumando una razón más por la que las nuevas cuentas podrían quedar expuestas.
Con Wildix, estos quebraderos de cabeza relacionados con la privacidad son rotundamente inexistentes. Wildix no almacena ninguna comunicación en vídeo con fines comerciales. De hecho, ya que la app funciona directamente de un navegador a otro, es imposible interceptar o guardar estos datos, incluso para los técnicos de Wildix. Las conferencias grabadas son privadas por defecto, ya que reciben una URL muy compleja generada aleatoriamente que resulta inaccesible para terceros.
Insistimos: la privacidad en Wildix es automática, está incorporada por defecto. Con Zoom, por el contrario, la responsabilidad de proteger la privacidad también recae directamente sobre el usuario.
La moraleja
Para mejorar la reputación de Zoom, la compañía ha tomado nota de los defectos de su sistema. Desde el 1 de abril de 2020 — no mucho después del inicio de una investigación por parte del Fiscal General de New York — anunciaron que suspenderían las nuevas actualizaciones para centrarse en resolver los problemas de seguridad detectados.
Este anuncio se realizó en un mensaje de disculpa por los defectos de seguridad de Zoom emitido por el CEO de la empresa, Eric Yuan, que también explica porqué el producto fue lanzado con semejantes defectos. En la publicación, Yuan afirma que el número de usuarios activos en la plataforma “ha superado con creces” todas las previsiones realizadas por la compañía, y que Zoom “fue inicialmente concebido para empresas e instituciones con un amplio apoyo tecnológico detrás.”
Yuan tiene razón, aunque más por omisión que por admisión. Con todas las cuestiones de seguridad que han salido a la luz, tal vez sería más apropiado afirmar directamente que Zoom debería utilizarse únicamente en combinación con un equipo interno que se ocupe de las tecnologías de la información, asumiendo que dicho equipo sea lo suficientemente grande para dedicar gran parte de su trabajo al mantenimiento del programa.
Por supuesto, la afirmación que subyace tras este punto es igualmente correcta: Zoom no es una solución diseñada para las pequeñas o medianas empresas, ni tampoco para las personas a título individual.
Esta parece ser la conclusión alcanzada por las escuelas públicas de la ciudad de Nueva York, que están abandonando la plataforma, y por Bruce Schneier, quien se considera un “tecnólogo del interés público” y escribió ampliamente sobre los problemas de este software. El profesor de Informática de Princeton Arvind Narayanan, directamente, califica a Zoom como “malware.”
Si hay algo que aprender de estos ejemplos es que la seguridad debe estar integrada en las plataformas de comunicación. Si consideramos que el usuario no puede ser responsable de configurar detalladamente esta materia, la seguridad debe estar siempre presente en la solución y no ser algo accidental que puede estar activo o no.
A menudo hemos comentado que la seguridad desde la concepción es una parte integral de la solución de Wildix. Con Wildix, la seguridad no es solo una opción que activa el usuario si no quiere estar expuesto a los peligros de la red. La seguridad funciona automáticamente, desde el momento en que empieza a utilizar la plataforma. De este modo, no es necesario escoger entre comodidad o seguridad porque Wildix lo tiene todo.
De hecho, hemos comprobado que no hay nada que haga que una solución sea tan incómoda como la falta de seguridad. El ejemplo de Zoom demuestra que cuando pierdes en seguridad, pierdes en funcionalidad.
A fin de cuentas, la solución menos útil es la que supone un riesgo para tu empresa y para ti.
El «breakdown»
Wildix | Zoom | |
Videoconferencias solo por invitación | Opción incluída por defecto | Opt-in |
Grabaciones descargables | Opción incluída por defecto | Opt-in |
URL de Conferencia | Alfanumérico (más combinaciones, más difíciles de adivinar) | Solo numérico (menos combinaciones, más fácil de adivinar) |
Asistencia o silenciar a asistentes en una conferencia | Si | Si |
Grabación de conferencias | Solo privado | Público y privado |
Instalación | N/A, a través del navegador | Utiliza exploits previos a la instalación para guardar clics |
Acceso a cámara web y micrófono | Dado solo para la aplicación Wildix en el navegador | Dado a la aplicación Zoom independientemente y a cualquier programa que acceda a ella |