En las últimas semanas se ha disparado el uso de aplicaciones de videollamadas como Zoom tanto en el ámbito empresarial como en el personal e incluso el político. Con ello, el escrutinio sobre la seguridad de este tipo de servicios se ha intensificado y esta aplicación no está saliendo muy bien parada.
La primera polémica se produjo cuando se descubrió que la aplicación de Zoom para iOS compartía la ubicación y otros datos con Facebook sin permiso, algo que se solucionó con una actualización y una disculpa. A pesar de eso, van a ser demandados por un usuario al considerar que esta circunstancia constituye una violación de la privacidad del usuario.
La segunda ha saltado durante las últimas horas, cuando The Intercept ha publicado una información en la que revela que las videollamadas de Zoom no están cifradas de extremo a extremo.
Y esta polémica no es la última que está en curso. El jefe técnico del rastreador de malware VMRay, Felix Seele, asegura que el instalador de Zoom para Mac usa scripts para automatizar la instalación sin solicitar el permiso del usuario y falsificar un mensaje del sistema para obtener privilegios en el sistema. Aunque no es estrictamente malicioso, Seele recuerda que son "los mismos trucos que usa el malware de macOS". Habrá que ver en qué queda este otro incendio.
Cifrado, sí, pero no de extremo a extremo
La gracia del cifrado de extremo a extremo es que la información que se transmite solamente puede ser descifrada por el emisor y el receptor. Nadie más tiene la llave que permite conocer el contenido de los datos que son transmitidos. Estamos seguros de que la información, de principio a fin, no queda expuesta.
Esta forma de cifrado no es la misma que emplea Zoom, como admite un portavoz de la compañía a The Intercept:
"Actualmente no es posible habilitar la encriptación E2E (de extremo a extremo) para las reuniones de vídeo de Zoom. Las videoconferencias de Zoom utilizan una combinación de TCP y UDP. Las conexiones TCP se hacen usando TLS y las conexiones UDP se encriptan con AES usando una clave negociada sobre una conexión TLS".
Traducido a un lenguaje más cercano, lo que hace esta boyante aplicación de videoconferencias es, primero, cifrar la información que envía el emisor y llega a sus servidores. Luego, esa misma información cifrada cuando es enviada a los receptores. ¿Cuál es el problema? Que entremedias, en los servidores, los datos están expuestos. Un gran problema, desde luego.
Esto supone un doble riesgo si partimos de la base de la buena fe que se le presupone a la empresa. El primero, como explican nuestros compañeros de Applesfera, es que agencias gubernamentales de inteligencia puedan solicitar de forma legal acceso a esos datos y, como son legibles en los servidores de Zoom, sea transmitida sin mayor dificultad, algo que no sucedería con el cifrado de extremo a extremo para bien y para mal.
El segundo riesgo es que, al igual que la compañía tiene acceso a la información, un atacante que lograse acceder a los servidores potencialmente también lo tendría. Todo un punto débil. Más si cabe en una aplicación de estas características y estos usos tan delicados.
Llegados a este punto, ¿hay alternativas?
Si nos preocupa la carencia del cifrado de extremo a extremo de la que adolecen las videollamadas de Zoom, las dos grandes alternativas que tenemos sobre la mesa para mejorar la seguridad de nuestras reuniones son WhatsApp, Signal y FaceTime. No son alternativas completas, porque no están pensadas para los que Zoom, pero nos pueden permitir minimizar la exposición de las llamadas de vídeo.
WhatsApp, desde que decidió cifrar de extremo a extremo todos los mensajes y llamadas en 2016, ha ido implementando esta encriptación a nuevas características que se han incorporado con el paso del tiempo como las videollamadas. El cifrado y descifrado de la información transmitida entre dos usuarios de la plataforma ocurre de forma completa en sus teléfonos.
Por otro lado, Signal, la aplicación segura de mensajería por excelencia, incorporó el cifrado de extremo a extremo para sus videoconferencias en 2017. Este servicio, además, ha sido frecuentemente recomendado por activistas en pro de la privacidad tan destacados como Edward Snowden, Laura Poitras o Matt Green.
En el caso de que seamos usuarios de los productos de Apple, FaceTime sería una tercera alternativa. El servicio de videollamadas de los de Cupertino disfruta de un cifrado de extremo a extremo que garantiza la seguridad de la información desde que sale del dispositivo del emisor hasta que llega al del receptor.
Ver 6 comentarios