Los problemas de privacidad y seguridad sacuden el ¨¦xito de Zoom

Una simple l¨ªnea de c¨®digo ha abierto la caja de Pandora de la privacidad y la seguridad de la app de videoconferencias Zoom. Una l¨ªnea con la que la propia empresa activaba un kit de desarrollo de software ¨Cm¨¢s conocido como SDK por sus siglas en ingl¨¦s¨C de Facebook que permit¨ªa tanto a la red social como a la aplicaci¨®n recopilar sin consentimiento de los usuarios determinados datos como la IP, el tipo de dispositivo, el sistema operativo y la ubicaci¨®n y uso horario de la conexi¨®n. ¡°Ha afectado ¨²nicamente al ecosistema de Apple. Este lunes ya enmendaron el error, pero el da?o est¨¢ hecho. Han amasado datos masivos tengas o no cuenta de Facebook. Ahora pueden perfilar a quienes se hayan conectado¡±, asegura la abogada Natalia Martos, fundadora de Legal Army.

Ayer mismo, el INCIBE advirti¨® que Zoom ha publicado un aviso de seguridad alertando sobre una vulnerabilidad para los usuarios de Windows que podr¨ªa permitir a los ciberdelincuentes robar informaci¨®n confidencial y ejecutar archivos en el dispositivo de la v¨ªctima.

Todas estas pr¨¢cticas han llevado a la fiscal general de Nueva York, Letitia James, a abrir una investigaci¨®n judicial. En una carta remitida a la organizaci¨®n, pide que especifique qu¨¦ clase de informaci¨®n recopila, con qu¨¦ prop¨®sitos y a qu¨¦ otras entidades facilita datos de los consumidores. ¡°Es una empresa que no tiene en cuenta la privacidad. Aunque sea dif¨ªcil de probar, esto es una venta de datos en toda regla. Ha sacado tajada. Nadie vende informaci¨®n gratuitamente. M¨¢s o menos es lo que sucedi¨® con Cambridge Analytica¡±, argumenta Martos. Pero esta falta de privacidad solo representa la punta del iceberg de todas las pol¨¦micas que ha destapado la cuarentena impuesta por el coronavirus en una aplicaci¨®n cuyas descargas han crecido gracias al confinamiento el 86% en un mes, de acuerdo con el portal Crunchbase.

Una investigaci¨®n de The New York Times ha revelado este jueves que la aplicaci¨®n contaba con una funci¨®n de miner¨ªa de datos, nada m¨¢s iniciar la sesi¨®n, que un¨ªa autom¨¢ticamente los nombres de los usuarios y las direcciones de correo con los perfiles de LinkedIn. Daba igual que durante la llamada alguien utilizara un pseud¨®nimo u optara por el anonimato. Si un usuario activaba el servicio LinkedIn Sales Navigator, pod¨ªa acceder a los perfiles de esta red social de otros participantes en la videollamada al clicar en un icono junto a sus nombres. El CEO de la compa?¨ªa, Eric S. Yuan, ha anunciado que durante los pr¨®ximos 90 d¨ªas congelar¨¢ este tipo de opciones para corregirlas y revertir los problemas de seguridad y privacidad detectados.

Ataques de trolls, intromisi¨®n en videollamadas ajenas, enlaces p¨²blicos de las salas, una configuraci¨®n predeterminada para el intercambio de archivos que permite enviar malware¡­ Una acumulaci¨®n excesiva de vulnerabilidades para el ¨¦xito cosechado recientemente. El uso de Zoom se ha popularizado durante esta crisis gracias a la llegada a marchas forzadas del teletrabajo, videollamadas entre amigos y familiares, clases a distancia y todo tipo de conexiones en remoto.

Seg¨²n transcurren los d¨ªas, las pol¨¦micas se multiplican. Algunos usuarios han confirmado que es relativamente sencillo que alguien controle su actividad mientras est¨¢n usando la aplicaci¨®n. Por ejemplo, la funci¨®n One Zoom avisa a quien realiza la llamada si un invitado ha estado m¨¢s de 30 segundos sin el programa abierto en primer plano. De esa manera un jefe podr¨ªa saber si alguien ha seguido una reuni¨®n con m¨¢s o menos atenci¨®n. La gesti¨®n de los correos electr¨®nicos tambi¨¦n ha generado controversia. La aplicaci¨®n agrega autom¨¢ticamente a otras personas a la lista de contactos de un usuario si se registran con un mail que comparte el mismo dominio. Puede ayudar en la b¨²squeda de alg¨²n compa?ero espec¨ªfico, aunque la cara oculta es que la compa?¨ªa, al unificarlos como si trabajaran para la misma organizaci¨®n, expone la informaci¨®n personal entre todos. ¡°Si esto ocurre en la Uni¨®n Europea, la multa ser¨ªa impresionante¡±, zanja Martos.

Zoom se ha defendido de las acusaciones con una entrada en su blog corporativo. Argumenta que no vende ning¨²n tipo de informaci¨®n personal; que respeta leyes de privacidad como el Reglamento europeo de protecci¨®n de datos y la normativa californiana, conocida como CCPA; y que no controla reuniones ni tampoco el contenido intercambiado. Esto ¨²ltimo ha levantado cierto revuelo. Lo adelantaba el medio digital The Intercept al afirmar que no existe un verdadero cifrado de extremo a extremo en las videollamadas, sino uno TLS. Es decir, terceros no acceden al audio y v¨ªdeo, pero la app s¨ª puede hacerlo mediante el servidor por el que discurre la informaci¨®n. ¡°Continuaremos mejorando y evolucionando nuestro enfoque de privacidad para asegurarnos de que estamos haciendo lo correcto para nuestros usuarios¡±, precisa la empresa.

Entre tanto r¨ªo revuelto, los ciberdelincuentes aprovechan el momento para timar a los usuarios. Pese a ser una aplicaci¨®n gratuita, en las tiendas m¨®viles podemos encontrarla por unos cuatro euros. Es un ejemplo evidente de phishing ¨Cun conjunto de t¨¦cnicas que persiguen el enga?o a una v¨ªctima gan¨¢ndose su confianza al hacerse pasar por una persona, empresa o servicio de confianza¨C. Suplantan la imagen de Zoom por otra id¨¦ntica, como si superpusieran la identidad falsa sobre la original. ¡°No hay recetas m¨¢gicas para detectarlo. Hay que tener mucha precauci¨®n y comprobar todo. Si nos fijamos bien, las empresas suelen incorporan datos de autenticidad¡±, sostiene ?scar Lage, experto en ciberseguridad de Tecnalia.

Reparar parte de los errores resulta ya imposible. Como mantiene Lage, estos problemas son el resultado de unos productos que, simplemente, se fijan en la funcionalidad. ¡°No se incluye la privacidad y la seguridad desde el principio. La ¨²nica soluci¨®n que les queda es ir parcheando la app. Lo ideal ser¨ªa utilizar aplicaciones basadas en el c¨®digo abierto, mantenidas por la comunidad y auditables¡±, explica. Existen m¨¢s opciones para mantener el contacto digital o seguir trabajando desde casa. Cada una con sus caracter¨ªsticas y limitaciones, pero el ¨¦xito de Zoom no ha monopolizado las videollamadas. ¡°Google Hangouts y Skype ser¨ªan unas buenas alternativas. Est¨¢n sometidas a una privacidad muy estricta¡±, concluye Martos.