Gobierno sigue usando Zoom pese a sus vulnerabilidades y compromete información confidencial
Esta jornada el Presidente Piñera realizó dos videoconferencias, una de ellas fue la puesta en marcha del nuevo hospital de Padre las Casas, y la otra, una coordinación con los presidentes participantes del Prosur para una coordinación por la COVID-19. Ambas usando la aplicación Zoom.
Plataforma que fue acusada la semana pasada por The Washington Post de exponer información personal y conversaciones privadas, debido a que Zoom nombra las grabaciones de videos de manera idéntica, donde una simple búsqueda en línea puede revelar reuniones y así poder verlas, como también, descargarlas.
La situación tomó tanto revuelo que el Departamento de Ciberdefensa y Ciberseguridad de la Subsecretaría de Defensa de Chile también se sumo a la alerta, donde sostienen que "la vulnerabilidad podría permitir el robo de credenciales (...) a través de la manipulación de los links que envía la aplicación Zoom acceder a los distintos recursos del equipo, entre ellos micrófono, cámara, etc".
Además instó a los chilenos a no utilizar Zoom para materias del servicio ya sea de clasificación pública, reservada o secreta, puesto que la información puede ser vulnerada, exponiendo datos de los usuarios y de los servicios, junto a los privilegios de las estaciones de trabajo.
¿Peligro de vulnerar cibernéticamente La Moneda?
Con todos los antecedentes, llama la atención la videoconferencia del Presidente al no considerar las alertas del ente de Ciberdefensa de Chile y usar la aplicación de igual modo, lo que pone en peligro la privacidad de las videoconferencias hechas en La Moneda, que son de carácter confidencial. Es más peligroso aún cuando se piensa que esa información podría estar a la mano de cualquier usuario de internet.
Con estos antecedentes, tanto las reuniones entre autoridades gubernamentales como otras con fines educacionales están en constante en peligro hasta que no exista firmeza del cuidado, protección de los datos y conversaciones de cada usuario. Lo que puede permitir vulneraciones de conversaciones, archivos, direcciones, datos bancarios u otros. Y sí, La Moneda podría ser un blanco débil.
La réplica de Zoom y más problemas
El jefe ejecutivo y fundador de Zoom, Eric Yuan, salió a hacer frente a las denuncias y explica que usarán “todos sus recursos técnicos para concentrarse en los principales problemas de confianza, seguridad y confidencialidad". Esto, porque el medio The Intercept publicó un articulo desmintiendo el uso del cifrado extremo a extremo en la aplicación. En cambio, ofrece lo que generalmente se llama cifrado de transporte.
“Actualmente no es posible habilitar la encriptación E2E (de extremo a extremo) para las reuniones de vídeo de Zoom. Las videoconferencias de Zoom utilizan una combinación de TCP y UDP. Las conexiones TCP se hacen usando TLS y las conexiones UDP se encriptan con AES usando una clave negociada sobre una conexión TLS”, señaló Zoom al medio internacional.
The Intercept explica en su artículo que: "El cifrado que Zoom usa para proteger las reuniones es TLS, la misma tecnología que usan los servidores web para proteger los sitios web HTTPS. Esto significa que la conexión entre la aplicación Zoom que se ejecuta en la computadora o teléfono de un usuario y el servidor de Zoom está encriptada de la misma manera que la conexión entre su navegador web y este artículo (en https://theintercept.com) está encriptada. Esto se conoce como cifrado de transporte, que es diferente del cifrado de extremo a extremo porque el servicio Zoom en sí mismo puede acceder al contenido de video y audio no cifrado de las reuniones de Zoom. Entonces, cuando tenga una reunión de Zoom, el contenido de video y audio se mantendrá privado de cualquiera que espíe su Wi-Fi, pero no se mantendrá privado de la compañía. (En un comunicado, Zoom dijo que no accede directamente, extrae ni vende datos de los usuarios; más abajo)".
⏸️ Pausa: si sientes un bombardeo de tecnicismos te invitamos a ver este video que puede darte una idea sobre los cifrados y los sistemas de encriptación.
En español, esto significa que un requisito para que las conversaciones estén realmente encriptadas, deben solo permitir a los usuarios tener los accesos a la videoconferencia y no Zoom.
Matthew Green, un criptógrafo y profesor de ciencias de la computación en la Universidad Johns Hopkins, explica a The Intercept que encriptar "las videoconferencias grupales son difíciles de cifrar de extremo a extremo. Esto se debe a que el proveedor de servicios necesita detectar quién está hablando para actuar como una central".
El experto puntualiza que lo único que parece estar cifrado de extremo a extremo es el chat de texto en la reunión al usar Estándar de cifrado avanzado (AES-256). "Sin cifrado de extremo a extremo, Zoom tiene la capacidad técnica de espiar reuniones de video privadas y podría verse obligado a entregar grabaciones de reuniones a los gobiernos o la policía en respuesta a solicitudes legales", puntualiza.
Desde la plataforma sostiene que toman "muy en serio la privacidad de sus usuarios", y que los datos manejados por ellos buscan "proporcionar el servicio y garantizar que se entregue de la manera más efectiva posible". Además manifiestan que han implementado parches para "proteger la privacidad de nuestros usuarios, lo que incluye evitar que cualquier persona, incluidos los empleados de Zoom, accedan directamente a los datos que los usuarios comparten durante las reuniones, incluido, entre otros, el contenido de video, audio y chat de esas reuniones".
Finalmente aseguran que ellos "no extraen datos del usuario ni vende datos de usuario de ningún tipo a nadie".
Sin embargo, no han respondido sobre el inexacto sistema de cifrado extremo a extremo, como tampoco la vulnerabilidad de sus sistemas para sacar grabaciones y datos por cualquier usuario de internet, lo que pone en jaque la seguridad de gobiernos, empresas y personas.
Revisa aquí las políticas de seguridad de Zoom| Consultado el 06 de abril 2020.
