En marzo de 2020 la aplicación llegó a superar los 200 millones de usuarios al día, según datos facilitados por la compañía. El confinamiento decretado por el coronavirus ha disparado el número de empresas, instituciones y particulares que optan por este servicio para comunicarse. Pero en las últimas semanas la aplicación se ha visto involucrada en múltiples polémicas relacionadas con la seguridad y la privacidad. Compañías como Google y SpaceX e incluso la NASA han prohibido a sus empleados que la utilicen durante el teletrabajo. Pero, ¿hasta qué punto tiene sentido este veto? ¿Es inseguro utilizar Zoom para hacer video llamadas? ¿Otras alternativas como Skype o Google Hangouts son más seguras?
Zoom fue fundada en 2011 por Eric Yuan, un empresario chino afincado en Silicon Valley. Desde entonces no ha parado de crecer. Pero su expansión se ha acelerado exponencialmente en las últimas semanas con la crisis mundial generada por el coronavirus. De hecho, la aplicación se ha colado entre las más populares tanto de la App Store como de la Play Store. En esta última tienda ha sido descargada en más de 100 millones de dispositivos.
El auge de la plataforma ha llevado a decenas de expertos en seguridad y privacidad a poner toda su atención en ella. De la misma forma, lo han hecho cibercriminales. Mientras que los trolls han aprovechado el uso masivo de la app para colarse en videoconferencias públicas y proyectar en la pantalla de otros usuarios porno o contenido violento, también ha aumentado el número de dominios falsos registrados que se hacen pasar por Zoom para engañar a los usuarios.
“El problema que ha tenido Zoom es que ha crecido muy rápido y en muy poco tiempo. Esto ha provocado que muchos ojos se pusieran en ella y se hayan encontrado muchos agujeros de seguridad”, explica Josep Albors. Es responsable de investigación y concienciación en España de la compañía de ciberseguridad Eset. “No hay ninguna aplicación segura al 100%. Pero ni de videoconferencias ni en cualquier otro ámbito. Otras aplicaciones como Skype, Google Hangouts o Cisco Webex Meetings también han presentado vulnerabilidades en mayor o menor medida y las han corregido”.
Zoom dice estar trabajando “sin descanso” para garantizar que todos los usuarios puedan mantenerse en contacto. En los últimos días ha ofrecido sesiones de formación y tutoriales gratuitos a los internautas y afirma tomarse muy en serio “la privacidad, la seguridad y la confianza del usuario”. “La compañía está muy involucrada proactivamente en asegurarse de que los usuarios entienden las políticas relevantes, así como las mejores formas de usar la plataforma y proteger sus vídeo comunicaciones”, explican fuentes de la empresa.
Sin embargo, los anuncios de nuevas vulnerabilidades en la app se han sucedido de forma continua en las últimas semanas. A la filtración de direcciones de correo electrónico y fotografías revelada por el portal Motherboard, se suma que miles de grabaciones de llamadas quedaron expuestas en la web, tal y como adelantó The Washington Post. La aplicación también contaba con una función de minería de datos que unía automáticamente los nombres de los usuarios y las direcciones de correo con los perfiles de LinkedIn, según una investigación de The New York Times. E incluso el Instituto Nacional de Ciberseguridad de España (Incibe) advirtió la semana pasada de una vulnerabilidad que podría permitir a los ciberdelincuentes robar información confidencial y ejecutar archivos en el dispositivo de los usuarios de Windows.
A principios del mes de abril, Zoom puso en marcha un plan de 90 días para “dedicar los recursos necesarios para identificar, abordar y solucionar problemas de manera proactiva”. Gran parte de las vulnerabilidades halladas ya han sido solucionadas. Y, según Albor, en “un tiempo récord”: “Hay veces que para solucionar vulnerabilidades en algunas empresas se tardan meses e incluso años”. Aún así, todos estos problemas detectados han provocado la prohibición de su uso en escuelas de la ciudad de Nueva York y de Singapur. También el veto por parte del Gobierno de Taiwan, el senado de Estados Unidos o empresas como Space X o Google.
Para Albor, que la compañía de Mountain View prohiba el uso de Zoom “tiene su lógica porque ellos tienen su propia solución”. Zoom ha descartado valorar la decisión de estas empresas y organismos. Se limita a insistir en que para la empresa la seguridad “es muy importante”: “Un gran número de instituciones a nivel global, desde algunas de las compañías de servicios financieros más grandes del mundo y proveedores de telecomunicación hasta ONG y gobiernos en toda Europa han realizado un exhaustivo análisis de seguridad de nuestras capas de usuario, red y centros de datos y continúan usando Zoom para sus necesidades de comunicación”.
Los datos de los usuarios
La app también ha sido criticada por los datos que recopila de los usuarios y el uso que hace de ellos. Samuel Parra, especialista en protección de datos, asegura que “Zoom no está siendo transparente en lo que se refiere a informar al usuario de qué datos está realmente recopilando, para que los recopila y si los están compartiendo o no”. La compañía recoge información relativa a la ubicación, el tipo de dispositivo, el sistema operativo, los horarios de conexión o la dirección IP.
Hasta hace unos días Zoom para iOS compartía datos de uso con Facebook sin permiso. Incluso cuando los usuarios no tienen una cuenta en la red social. Esta información no se explicaba en los términos y condiciones del servicio. La compañía rectificó tras la polémica y solucionó el problema. Parra, que trabaja la consultora especializada en protección de datos Égida, subraya que también se ha pedido a la Comisión Federal de Comercio de Estados Unidos (FTC, en sus siglas en inglés), que investigue la aplicación por exponer a los usuarios a que terceros puedan activar su cámara web de forma remota sin su conocimiento ni consentimiento.
Para Parra, que empresas o gobiernos permitan seguir utilizando esta herramienta es “un acto imprudente”. Él desaconseja su uso también a particulares, pero subraya que el problema no es exclusivo de Zoom: “No creo que exista ningún servicio libre de errores o con problemas de privacidad por lo que no me atrevo a recomendar ninguno”. Considera que la mejor manera de ser responsables en el uso de la tecnología pasa por pensar primero si realmente es necesario utilizar una de estas herramientas. “¿Por qué tenemos que pasar por un software de terceros para tener esa conversación? ¿Es imprescindible que nos podamos ver la cara? Porque quizá no sea necesario y una simple llamada por teléfono sea más que suficiente. Los teléfonos y los operadores actuales permiten realizar multiconferencias donde todos podamos estar en una misma conversación telefónica”, afirma.
Poner contraseñas a las reuniones y actualizar la ‘app’: así pueden protegerse los usuarios
Los usuarios también tienen un papel importante a la hora de garantizar la seguridad durante las videollamadas. Para evitar incidentes, Zoom les anima a que organicen sus configuraciones de manera que solo los anfitriones puedan compartir sus pantallas. También a que utilicen funciones como la "sala de espera" y los controles de silencio de los anfitriones. Además, aconseja a los usuarios a implementar contraseñas para todas sus reuniones para asegurar que los usuarios no invitados no puedan unirse. Este tipo de medidas deberían tomarse en todas las aplicaciones de videollamadas, según Enrique Domínguez. Es director de estrategia de la compañía Entelgy Innotec Security y subraya que “es muy importante” descargar las aplicaciones únicamente desde las tiendas o webs oficiales. También utilizar una contraseña compleja que no se haya usado anteriormente, no ofrecer información personal ni datos bancarios a través de la llamada y tener actualizada la aplicación para usar siempre la última versión —la más segura—. “Con el escrutinio constante al que hemos sometido a estas plataformas por parte de los profesionales de ciberseguridad, hoy todas son mucho más seguras que antes de comenzar la crisis del Covid-19”, afirma. En el ámbito corporativo, Domínguez recomienda utilizar la plataforma escogida por cada empresa. Para uso personal, sostiene que todas las plataformas más populares son recomendables si el usuario sigue los consejos mencionados.
COMENTARIOS