Ocurre cuando se graban, porque los ficheros tienen la misma estructura, lo que facilita mucho la búsqueda

Cuidado con las reuniones vía Zoom: pueden ser escuchadas y vistas por cualquiera

271
Cualquiera puede llegar a escuchar los que dices en una reunión de Zoom

Se ha convertido en la aplicación de moda, como ya comentamos hace unos días en Escudo Digital, pese a sus vulnerabiidades y estar bajo el escrutinio del FBI. El confinamiento por la pandemia del coronavirus ha provocado que personas que jamás habían oído hablar de ella realicen reuniones de trabajo, hablen con sus amigo o practiquen gimnasia en común. Incluso hagan reuniones familiares. Lo más grave es que sus desarrolladores habían mentido cuando afirmaban que utilizaban un cifrado de extremo. Pese a la crisis reputacional de la aplicacion, la gente sigue usándola, bien porque los primeros cuarenta minutos son gratuitos o bien porque no leen publicaciones especializadas en ciberseguridad.

Ahora, según publica Genbeta, los responsables de la app, que han decidido remediar los defectos mediantes auditorías externas y actualizaciones, se enfrentan a nuevas dudas sobre su fiabilidad.

Veamos: cuando el software inicia dicha videollamada, obtiene una clave que proviene de la nube de zoom que se utiliza para cifrar el audio y el vídeo. Se trata de la misma que utilizan todos los participantes en la reunión virtual. Según como se  haya configurado la reunión, algunos servidores concretos de la nube, los llamados ”conectores”, pueden obtener una copia. Según la mencionada web, de los 73 servidores con funciones de conector de la nube de Zoom, la mayoría de ellos están instalados en Estados Unidos, pero 5 de ellos lo están en China.

Alguna reunión por Zoom es una magnífica pecera para el espionaje industrial chino

Y, por lo que denuncia en su informe el Citizen Lab de la Universidad de Toronto, muchas conversaciones entre usuarios ajenos a dicho país asiático terminan pasando por esos servidores. Las autoridades del país asiático pueden monitorizar el tráfico de vídeo y audio de la llamada, lo que supone una catástrofe para las autoridades y las empresas americanas, obsesionadas con el espionaje industrial chino.  SpaceX, Apple y la NASA han prohibido a sus trabajadores hacer uso de Zoom para comunicarse. Por si esto fuera poco, el diario Washington Post  ha revelado que, al usar la función de grabar una copia en vídeo de una reunión, el nombre de los ficheros resultantes tiene siempre la misma estructura, lo que facilita mucho que una búsqueda en la Red abierta desvele y permita el acceso a miles de sesiones grabadas, ya sea por culpa de filtraciones, o bien por configuraciones de privacidad incorrectas.

El experto en ciberseguridad encontró el solo 15.000, algunas de ellas muy delicadas, como una reunión vía Zoom entre un psicólogo y su paciente donde hablaban de una problemática de autolesiones.

La respuesta de Zoom, publicada por Mashable, ha sido la siguiente:

“Zoom notifica a los participantes cuándo un anfitrión elige grabar una reunión y proporciona un modo seguro para que los anfitriones almacenen grabaciones. Las reuniones de Zoom sólo se graban a elección del anfitrión, ya sea localmente en su equipo o en la nube de Zoom”.

“Si los anfitriones – explica Zoom – deciden después subir sus grabaciones a cualquier otro lugar, les instamos a que tengan mucho cuidado y sean transparentes con los participantes de la reunión, evaluando cuidadosamente si la reunión contiene información confidencial y la opinión de los propios participantes”.