Los problemas de privacidad y seguridad sacuden el éxito de Zoom
Una simple línea de código ha abierto la caja de Pandora de
la privacidad y la seguridad de la app de videoconferencias Zoom. Una línea con
la que la propia empresa activaba un kit de desarrollo de software –más
conocido como SDK por sus siglas en inglés– de Facebook que permitía tanto a la
red social como a la aplicación recopilar sin consentimiento de los usuarios
determinados datos como la IP, el tipo de dispositivo, el sistema operativo y
la ubicación y uso horario de la conexión. “Ha afectado únicamente al ecosistema
de Apple. Este lunes ya enmendaron el error, pero el daño está hecho. Han
amasado datos masivos tengas o no cuenta de Facebook. Ahora pueden perfilar a
quienes se hayan conectado”, asegura la abogada Natalia Martos, fundadora de
Legal Army.
Ayer mismo, el INCIBE advirtió que Zoom ha publicado un
aviso de seguridad alertando sobre una vulnerabilidad para los usuarios de
Windows que podría permitir a los ciberdelincuentes robar información
confidencial y ejecutar archivos en el dispositivo de la víctima.
Todas estas prácticas han llevado a la fiscal general de
Nueva York, Letitia James, a abrir una investigación judicial. En una carta
remitida a la organización, pide que especifique qué clase de información
recopila, con qué propósitos y a qué otras entidades facilita datos de los
consumidores. “Es una empresa que no tiene en cuenta la privacidad. Aunque sea
difícil de probar, esto es una venta de datos en toda regla. Ha sacado tajada.
Nadie vende información gratuitamente. Más o menos es lo que sucedió con
Cambridge Analytica”, argumenta Martos. Pero esta falta de privacidad solo
representa la punta del iceberg de todas las polémicas que ha destapado la
cuarentena impuesta por el coronavirus en una aplicación cuyas descargas han
crecido gracias al confinamiento el 86% en un mes, de acuerdo con el portal
Crunchbase.
Una investigación de The New York Times ha revelado este
jueves que la aplicación contaba con una función de minería de datos, nada más
iniciar la sesión, que unía automáticamente los nombres de los usuarios y las
direcciones de correo con los perfiles de LinkedIn. Daba igual que durante la
llamada alguien utilizara un pseudónimo u optara por el anonimato. Si un
usuario activaba el servicio LinkedIn Sales Navigator, podía acceder a los perfiles
de esta red social de otros participantes en la videollamada al clicar en un
icono junto a sus nombres. El CEO de la compañía, Eric S. Yuan, ha anunciado
que durante los próximos 90 días congelará este tipo de opciones para
corregirlas y revertir los problemas de seguridad y privacidad detectados.
Ataques de trolls, intromisión en videollamadas ajenas,
enlaces públicos de las salas, una configuración predeterminada para el
intercambio de archivos que permite enviar malware… Una acumulación excesiva de
vulnerabilidades para el éxito cosechado recientemente. El uso de Zoom se ha
popularizado durante esta crisis gracias a la llegada a marchas forzadas del
teletrabajo, videollamadas entre amigos y familiares, clases a distancia y todo
tipo de conexiones en remoto.
Según transcurren los días, las polémicas se multiplican.
Algunos usuarios han confirmado que es relativamente sencillo que alguien
controle su actividad mientras están usando la aplicación. Por ejemplo, la
función One Zoom avisa a quien realiza la llamada si un invitado ha estado más
de 30 segundos sin el programa abierto en primer plano. De esa manera un jefe
podría saber si alguien ha seguido una reunión con más o menos atención. La
gestión de los correos electrónicos también ha generado controversia. La
aplicación agrega automáticamente a otras personas a la lista de contactos de
un usuario si se registran con un mail que comparte el mismo dominio. Puede
ayudar en la búsqueda de algún compañero específico, aunque la cara oculta es
que la compañía, al unificarlos como si trabajaran para la misma organización,
expone la información personal entre todos. “Si esto ocurre en la Unión
Europea, la multa sería impresionante”, zanja Martos.
Zoom se ha defendido de las acusaciones con una entrada en
su blog corporativo. Argumenta que no vende ningún tipo de información
personal; que respeta leyes de privacidad como el Reglamento europeo de
protección de datos y la normativa californiana, conocida como CCPA; y que no
controla reuniones ni tampoco el contenido intercambiado. Esto último ha
levantado cierto revuelo. Lo adelantaba el medio digital The Intercept al
afirmar que no existe un verdadero cifrado de extremo a extremo en las
videollamadas, sino uno TLS. Es decir, terceros no acceden al audio y vídeo, pero
la app sí puede hacerlo mediante el servidor por el que discurre la
información. “Continuaremos mejorando y evolucionando nuestro enfoque de
privacidad para asegurarnos de que estamos haciendo lo correcto para nuestros
usuarios”, precisa la empresa.
Entre tanto río revuelto, los ciberdelincuentes aprovechan
el momento para timar a los usuarios. Pese a ser una aplicación gratuita, en
las tiendas móviles podemos encontrarla por unos cuatro euros. Es un ejemplo
evidente de phishing –un conjunto de técnicas que persiguen el engaño a una
víctima ganándose su confianza al hacerse pasar por una persona, empresa o
servicio de confianza–. Suplantan la imagen de Zoom por otra idéntica, como si
superpusieran la identidad falsa sobre la original. “No hay recetas mágicas
para detectarlo. Hay que tener mucha precaución y comprobar todo. Si nos
fijamos bien, las empresas suelen incorporan datos de autenticidad”, sostiene
Óscar Lage, experto en ciberseguridad de Tecnalia.
Reparar parte de los errores resulta ya imposible. Como
mantiene Lage, estos problemas son el resultado de unos productos que,
simplemente, se fijan en la funcionalidad. “No se incluye la privacidad y la
seguridad desde el principio. La única solución que les queda es ir parcheando
la app. Lo ideal sería utilizar aplicaciones basadas en el código abierto,
mantenidas por la comunidad y auditables”, explica. Existen más opciones para
mantener el contacto digital o seguir trabajando desde casa. Cada una con sus
características y limitaciones, pero el éxito de Zoom no ha monopolizado las
videollamadas. “Google Hangouts y Skype serían unas buenas alternativas. Están
sometidas a una privacidad muy estricta”, concluye Martos.