La aplicación de videoconferencias Zoom es una de las pocas historias de éxito en la pandemia. Pero su seguridad está en entredicho.
Desde que el coronavirus nos ha impuesto el confinamiento la vida se ha trasladado a Zoom. De un día para otro, esta aplicación de videoconferencias se ha convertido en esencial para muchas personas. La gente la utiliza para hablar con sus jefes, hacer partidas de Catán y emborracharse con los amigos. Incluso los gobiernos los están utilizando para sus reuniones de gabinete. Hace años que existe pero en el último mes su uso diario ha crecido en un 535%. En consecuencia, su valor en bolsa se ha disparado, llegando a superar el de compañías aéreas o cadenas hoteleras. Es, en definitiva, una de las pocas historias de éxito de la pandemia.
Pero hay un problema: Zoom es una aplicación muy poco segura. Un mayor uso implica un mayor escrutinio público, y la aplicación no está saliendo bien parada de ello. Las primeras críticas apuntaron hacia la falta de privacidad que implican herramientas como la que permite que la persona que hospeda la llamada vea si un usuario hace clic fuera de una ventana de Zoom durante 30 segundos o más. Es decir, la app se 'chiva' si no prestas atención en una reunión o una clase online.
Ahora se están destapando problemas de seguridad más graves. Motherboard ha informado de que la aplicación filtra información personal de sus usuarios y permite que extraños puedan iniciar una videollamada. The Intercept, por su parte, ha descubierto que no utiliza un sistema de cifrado de extremo a extremo tal y como promete, lo que implica alguien con acceso a los servidores de la aplicación pueda interceptar nuestras llamadas.
Los trols no han tardado en aprovechar estás debilidades para sembrar el caos. El fenómeno se ha llamado 'zoombombing' y su método es tan sencillo como efectivo: los hackers se cuelan en videollamadas públicas y utilizan la función de pantalla compartida para proyectar contenido ofensivo y obligar a los anfitriones a cancelar el evento. La pasada semana, la cadena de comida rápida Chipotle se vio obligada a cancelar una charla con el cantante Lauv después de que uno de los participantes empezara a emitir pornografía a los centenares de personas que atendían la videoconferencia.
En ese caso, el hacker se había aprovechado de una configuración predeterminada que permite que cualquier participante de la reunión comparta su pantalla sin permiso del anfitrión del evento. Cualquier persona que tenga un enlace a una reunión pública puede unirse, por lo que solo hace falta rastrear la red para encontrar los enlaces a estos eventos públicos. También existen grupos de Facebook dedicados a compartirlos.
Pero el 'zoombombing' no se limita a videoconferencias públicas. En Noruega, un desconocido se coló desnudo en la videollamada de una escuela. Esta semana, un activista denunciaba a Buzzfeed que sus charlas virtuales para mujeres de color habían sido interrumpidas por trols racistas. Esto se debe a que se para acceder a las reuniones de Zoom basta una URL breve basada en números, que, según diversos informes de firmas de seguridad, los hackers pueden generar y adivinar fácilmente.
Hay más: tal y como informa The Guardian, en 2019 trascendió que Zoom había instalado un servidor web oculto en los dispositivos de los usuarios que permitía que un usuario pudiera ser agregado a una llamada sin su permiso. Y esta misma semana se ha descubierto un error de software que permitiría apoderarse del Mac de un usuario de Zoom, incluido el acceso a la cámara web y el micrófono. Todo ello ha llevado a que algunos especialistas en seguridad informática directamente tilden a la aplicación de 'malware'.
En respuesta, Zoom emitió un comunicado en el que lamentaba los incidentes y ha publicado algunos consejos de seguridad para evitar que personas no deseadas se “unan a la fiesta”. Entre las recomendaciones, que pueden consultarse en su blog, se cita no postear los links de acceso en las redes sociales, limitar el uso compartido de la pantalla a ciertos participantes y hacer que los eventos sean accesibles solo con invitación. Sobre el papel, parecen cosas bastante obvias.
El problema es que, tal y como explica Xataka, estas medidas sirven de poco cuando son los propios integrantes de una videollamadas los que quieren ser saboteados. Y es que a menudo son estudiantes que asisten a una videollamada con sus profesores los que publican el enlace para que alguien la boicotee. En este sentido, la mayoría de los ataques a Zoom no serían tanto por carencias de seguridad en el servicio, sino por la falta de opciones de privacidad o la configuración errónea de estas. Sea como sea, Zoom tiene mucho trabajo por delante si quiere estar a la altura de su repentina popularidad.