Zoom Video es una aplicación de videoconferencia popular en a mbitos domésticos y educativos por su coste gratuito, por la facilidad de uso de su interfaz, por sus fondos divertidos o por su escalabilidad para uso en múltiples dispositivos. Sin embargo, es toda una pesadilla de privacidad.
Con medio mundo confinado en casa para frenar la pandemia del COVID-19, no extraña los datos compilados por Reuters que hablan de un récord de uso de las aplicaciones de videoconferencia. Al igual que esta ocurriendo con el aumento explosivo del uso de los servicios de streaming de vídeo; de juegos en plataformas como Steam o de aplicaciones de chat (WhatsApp + 700%) para hacer ma s soportable el aislamiento, las herramientas que hacen posible las reuniones virtuales son ma s necesarias que nunca para teletrabajo o tele-estudio.
Zoom Video, una pesadilla en privacidad
Zoom Video es una de estas aplicaciones populares, pero varias noticias que llegan sobre su funcionamiento, recopilación de datos y falta de transparencia, nos hacen desaconsejar su uso totalmente. The Intercept asegura que la empresa detra s de esta herramienta (Zoom Video Communications) miente al decirle a los usuarios que «Zoom esta utilizando una conexión cifrada de extremo a extremo como puede leerse en su pa gina web.
Es falso y una vez que la noticia ha salido a la luz un portavoz de la compañía ha tenido que reconocer que «actualmente, no es posible habilitar el cifrado E2E para las reuniones de vídeo de Zoom . La diferencia entre el cifrado de transporte TLS usado y el cifrado de extremo a extremo puede parecer escasa, pero es simplemente enorme y significa que Zoom (o el servidor al que esta conectado) puede ver todo lo que haces.
Hay mucho ma s. Motherboard informa que Zoom Video esta filtrando las direcciones de correo electrónico de «al menos miles de usuarios porque las direcciones personales se tratan como si pertenecieran a la misma empresa. El problema radica en la configuración del ‘Directorio de empresas’ de Zoom, que agrega automa ticamente a otras personas a las listas de contactos de un usuario si se registraron con una dirección de correo electrónico que comparte el mismo dominio.
Para completar los fallos de seguridad, se ha revelado una nueva vulnerabilidad fa cil de explotar que permite robar el nombre de usuario y la contraseña de Windows de los participantes si hacen clic en un enlace malicioso en la ventana de chat. Cuando los participantes del chat hacen clic en esos enlaces, Windows intenta automa ticamente iniciar sesión en ese recurso compartido de red, enviando su nombre de usuario y hash de contraseña NTLM, que pueden descifrarse fa cilmente y en segundos usando herramientas gratuitas de hacking como Hashcat.
Son los últimos ejemplos de una compañía que ha pasado el último año «mejorando la seguridad y privacidad de su herramienta. Porque los problemas de las pra cticas de la compañía y el marketing engañoso vienen de lejos.
Zoom Video captura información de los usuarios desde el nombre a las direcciones, pasando por la dirección postal y electrónica, o los medios de pago. Recolecta, almacena y comparte con otros (incluyendo anunciantes) los nombres de todos los participantes de cada llamada o videoconferencia, las grabaciones, las pizarras compartidas, y archivos y mensajes enviados durante las llamadas.
La Electronic Frontier Foundation ya advirtió que cualquier administrador podía unirse a cualquier llamada corporativa o institucional sin advertencia ni consentimiento de los participantes y desde firmas de seguridad como ESET ya advirtió acerca del riesgo de zoombombing con este tipo de aplicaciones. El FBI advirtió de este tipo de secuestros, mientras que el Ministerio de Defensa del Reino Unido prohibió el uso de Zoom el mes pasado.
Confirmamos: los desafíos de la ciberseguridad en tiempos del COVID-19 son tremendos. ¡Cuídate de ellos!
FUENTE: por Juan Ranchal muyseguridad