Los problemas de Seguridad de ZOOM ponen en juego su crecimiento

Zoom Meetings - Seguridad - Covid19

El servicio de videoconferencia de Zoom está viviendo un crecimiento nunca visto en internet. Pero entre rumores y verdades está cayendo su reputación y hacen florecer los problemas de Seguridad de Zoom y ponen en juego su crecimiento.

En la crisis que nos encontramos debido al COVID19, el confinamiento y el teletrabajo, hacen que los sistemas de videoconferencia estén viviendo un crecimiento nunca visto en internet. Pero si uno de ellos destaca por encima de todos es el servicio de Zoom.

Zoom es una empresa líder en sistemas de videoconferencia, multiplataforma en la que se permite la colaboración, chat, seminarios web, etc. Eric Yuan fundó Zoom en 2011 después de contribuir en el desarrollo de WebEx, que Cisco compró por $ 3.2 mil millones. Debutó en NASDAQ en abril de 2019 («ZM»), después del debut en el mercado, la participación de Yuan en Zoom tenía un valor de $ 2.9 mil millones. En 2018, fue nombrado «Glassdoor’s big company CEO» del año, con una calificación de aprobación del 99% de los empleados. Eric Yuan ha duplicado su fortuna en un mes.

Antes de esta crisis Zoom era desconocido para muchos. Al igual que otros sistemas de videoconferencia como WebEx, Vidyo, Microsoft Teams, Google Meet, etc. son muy conocidos en el entorno empresarial, pero no en el particular. Ahora, con el auge de las videoconferencias, Zoom ha entrado con fuerza en este entorno. El volumen de descargas de su App para móviles ha aumentado un 80% y ha pasado de 10 millones de usuarios a 200 millones en 3 meses.

Pero este éxito contrasta con los problemas de Seguridad de Zoom que ponen en juego su crecimiento. En un periodo de tiempo muy corto se le atribuyen algunos problemas que hacen peligrar toda la reputación que ha ganado.

Veamos cuáles son los principales problemas aparecidos:

  • Fugas de datos a otras aplicaciones. Al parecer en la aplicación de Zoom para iOS se envían datos hacia Facebook aunque no dispongas de cuenta en esta red social. Fuente: Motherboard Tech by Vice. Zoom corrigió este «problema» a final de marzo y envió una nota a través de su blog.
  • Fallos del propio programa, que dejarían al descubierto datos de las cuentas de miles de nombres, usuarios y correos aleatorios a otras personas. Como respuesta a este problema Zoom ajustó su política de seguridad con este comunicado en su blog.
  • Otro fallo del programa permitiría a un atacante acceder a los usuarios y contraseñas de un ordenador Windows. Esto afecta a los ordenadores Windows que tengan instalada una versión de Zoom anterior a la 4.6.9 (más detalles). Por lo que la recomendación en este caso es actualizar el programa. En el momento de escribir este artículo está disponible la versión 4.6.10.
  • Sus medidas de privacidad no son tan fuertes como decían ser. Han surgido discrepancias sobre la definición en la encriptación de las videoconferencias extremo-a-extremo. A través del medio The Intercept se detallan algunas vulnerabilidades existentes. Según parece la encriptación es entre el dispositivo cliente y los servidores de Zoom, no cliente-Zoom-cliente. Por parte de Zoom se publicó una nota en su blog con fecha 3 de abril con un estudio en el que explican los cambios en la encriptación.

Parece que se están tomando medidas sobre los problemas de seguridad de Zoom. Una de las razones que defiende Zoom es que han tenido un aumento tan significativo en el uso de su solución que esto ha hecho llevar todas las miradas hacia su servicio, hacia sus sistemas de seguridad, etc. Si los problemas detectados hubiesen sido separados en el tiempo y además no vinculados hacia su gran crecimiento, seguramente no hubiesen tenido la importancia que se les ha dado.

Muchos son los medios desde los que se a alertado de estas vulnerabilidades. Tanto desde especialistas en seguridad a nivel mundial como desde la Guardia Civil, Mossos d’Esquadra, etc.

Posteriormente a estas notas muchos de estos mismos medios han publicado notas aclaratorias informando sobre la solución de estas vulnerabilidades. Tal y como se ha recomendado, para la aplicación Windows es importante descargar la última actualización. En las App para dispositivos móviles se recomienda igualmente realizar las actualizaciones recomendadas y no compartir los contactos del dispositivo con la App.


Referencias y medios consultados: