Ciberseguridad

Zoom Video, una herramienta de videoconferencia que debes evitar si te preocupa la privacidad

Zoom Video es una aplicación de videoconferencia popular en ámbitos domésticos y educativos por su coste gratuito, por la facilidad de uso de su interfaz, por sus fondos divertidos o por su escalabilidad para uso en múltiples dispositivos. Sin embargo, es toda una pesadilla de privacidad.

Con medio mundo confinado en casa para frenar la pandemia del COVID-19, no extraña los datos compilados por Reuters que hablan de un récord de uso de las aplicaciones de videoconferencia. Al igual que esta ocurriendo con el aumento explosivo del uso de los servicios de streaming de vídeo; de juegos en plataformas como Steam o de aplicaciones de chat (WhatsApp + 700%) para hacer más soportable el aislamiento, las herramientas que hacen posible las reuniones virtuales son más necesarias que nunca para teletrabajo o tele-estudio.

Zoom Video, una pesadilla en privacidad

Zoom Video es una de estas aplicaciones populares, pero varias noticias que llegan sobre su funcionamiento, recopilación de datos y falta de transparencia, nos hacen desaconsejar su uso totalmente. The Intercept asegura que la empresa detrás de esta herramienta (Zoom Video Communications) miente al decirle a los usuarios que «Zoom está utilizando una conexión cifrada de extremo a extremo» como puede leerse en su página web.

Es falso y una vez que la noticia ha salido a la luz un portavoz de la compañía ha tenido que reconocer que «actualmente, no es posible habilitar el cifrado E2E para las reuniones de vídeo de Zoom». La diferencia entre el cifrado de transporte TLS usado y el cifrado de extremo a extremo puede parecer escasa, pero es simplemente enorme y significa que Zoom (o el servidor al que está conectado) puede ver todo lo que haces.

Hay mucho más. Motherboard informa que Zoom Video está filtrando las direcciones de correo electrónico de «al menos miles de usuarios» porque las direcciones personales se tratan como si pertenecieran a la misma empresa. El problema radica en la configuración del ‘Directorio de empresas’ de Zoom, que agrega automáticamente a otras personas a las listas de contactos de un usuario si se registraron con una dirección de correo electrónico que comparte el mismo dominio.

Para completar los fallos de seguridad, se ha revelado una nueva vulnerabilidad fácil de explotar que permite robar el nombre de usuario y la contraseña de Windows de los participantes si hacen clic en un enlace malicioso en la ventana de chat. Cuando los participantes del chat hacen clic en esos enlaces, Windows intenta automáticamente iniciar sesión en ese recurso compartido de red, enviando su nombre de usuario y hash de contraseña NTLM, que pueden descifrarse fácilmente y en segundos usando herramientas gratuitas de hacking como Hashcat.

Zoom Video

Son los últimos ejemplos de una compañía que ha pasado el último año «mejorando» la seguridad y privacidad de su herramienta. Porque los problemas de las prácticas de la compañía y el marketing engañoso vienen de lejos.

Zoom Video captura información de los usuarios desde el nombre a las direcciones, pasando por la dirección postal y electrónica, o los medios de pago. Recolecta, almacena y comparte con otros (incluyendo anunciantes) los nombres de todos los participantes de cada llamada o videoconferencia, las grabaciones, las pizarras compartidas, y archivos y mensajes enviados durante las llamadas.

La Electronic Frontier Foundation ya advirtió que cualquier administrador podía unirse a cualquier llamada corporativa o institucional sin advertencia ni consentimiento de los participantes y desde firmas de seguridad como ESET ya advirtió acerca del riesgo de zoombombing con este tipo de aplicaciones. El FBI advirtió de este tipo de secuestros, mientras que el Ministerio de Defensa del Reino Unido prohibió el uso de Zoom el mes pasado.

Confirmamos: los desafíos de la ciberseguridad en tiempos del COVID-19 son tremendos. ¡Cuídate de ellos!

FUENTE: por Juan Ranchal  muyseguridad