Hechos clave:
- Zoom tiene un largo historial de deficiencias de privacidad y seguridad.
- Pocos usuarios realizan la debida investigación antes de instalar aplicaciones.
En estos días virulentos se repara mucho en la higiene. Periódicos, noticieros, redes sociales; todo está plagado de novedosas técnicas de lavado de manos, de técnicas caseras para hacer tu propia burbuja de plástico y mantenerte lo más protegido ante la pestilencia del mundo. Pero el principal consejo de asepsia corporal es el encierro.
Esto nos ha llevado a migrar –aún más– a Internet. Desde las islas que son nuestras casas, hacemos videoconferencias para acercarnos en la lejanía. Al menos tenemos eso. Pero el ciberespacio también es infeccioso. Y en la medida en que estamos más expuestos a él, es necesario difundir una cultura de higiene digital y exigir medidas preventivas más estrictas y transparentes por parte de los servicios que utilizamos.
Durante las últimas semanas el número de usuarios de la plataforma de videoconferencias Zoom se ha disparado. Clases escolares, reuniones ejecutivas y charlas familiares han coincidido en este servicio por soportar varios participantes simultáneos (a diferencia de las videollamadas de WhatsApp), ser gratuita y ofrecer una experiencia de usuario intuitiva. Pero al concentrarse tanto en facilitar la interacción de los usuarios, han descuidado asuntos nada triviales como la seguridad y privacidad.
El Zoombombing es uno de los resultados de dicha estructura de prioridades. Es algo similar al photobombing, donde alguien se atraviesa a modo de broma en tu foto, pero en este caso con tus conversaciones privadas en Zoom.
Imagina que estás discutiendo los detalles finales del nuevo producto que lanzará tu empresa, defendiendo tu tesis doctoral, dando una clase a tus alumnos menores de edad, o tan solo ofreciendo un concierto digital y, sin previo aviso ni invitación, alguien irrumpe en tu conversación con imágenes de genitales.
Si toman clases en línea en La App Zoom tengan cuidado.
Hoy Hackearon mi clase con contenido obseno y horrible.#zoombombing #Zoom #Hacking pic.twitter.com/nuuWKYfJVR— A🌸 (@ALeLOchoa) April 2, 2020
Este último caso realmente sucedió. Aparentemente, si te suscribes a Zoom con un proveedor de correos que no sea de los estándar, como Gmail o Hotmail, una configuración errónea del sistema provee acceso a la información de los usuarios vinculados a ese proveedor: sus nombres, direcciones de correo, imágenes de perfil y su estatus, pudiendo llamarlos o interferir en sus llamadas.
Si se investiga un poco, la lista de deficiencias en materia de privacidad y seguridad no es corta. Digamos, con condescendencia, que errores cometemos todos. Lo que realmente importa es cómo los enfrentamos y resolvemos. La ligera reacción de Zoom ante advertencias de bugs en su plataforma que comprometían la seguridad de sus usuarios, pudiera poner en entredicho la ética de la compañía.
En julio de 2019, el investigador Jonathan Leitschuh narró la casi indiferencia con que respondió Zoom cuando les previno sobre una vulnerabilidad en el cliente de Mac que permitía que cualquier website malicioso encendiera la cámara de los usuarios sin su permiso, exponiendo potencialmente a más de setecientas cincuenta mil compañías que usaban sus servicios para el momento.
Leitschuh dio, como suele hacerse en la industria, un margen de noventa días para que Zoom atendiera la vulnerabilidad antes de proceder a revelarla públicamente. Incluso les ofreció una, llamada por él, «solución rápida» para parchear el problema temporalmente hasta que desarrollaran un arreglo más permanente. Con todo, en una reunión casi al término del plazo, Zoom presentó una solución deficiente y todavía vulnerable, según el desarrollador, algo inaceptable para una compañía de su calibre y con tal base de usuarios.
La respuesta podría indicar que menospreciaron el riesgo de la vulnerabilidad y no dedicaron demasiados esfuerzos a solucionarla. Además de esto, ofrecieron a Leitschuh su debida recompensa por señalar la vulnerabilidad, la cual rechazó porque ponía por encima la reputación de Zoom antes que la seguridad de los usuarios. Esto porque la recompensa estaba sujeta a la firma de un acuerdo de confidencialidad que evitaría que el desarrollador revelara la vulnerabilidad en el futuro. Al final, fue Apple la que tomó cartas en el asunto para proteger a sus usuarios.
Higiene digital es investigar las apps que usamos
Aun dándole el beneficio de la duda a Zoom, admitiendo que tuvieron que lidiar con un volumen de usuarios inesperado, tan largo historial de deficiencias no debería ser admitido. Los usuarios deben exigir las más estrictas garantías para sus datos y, de no obtenerlas, migrar a otro proveedor de servicio. Pero esto no es lo que sucede.
Las fallas de Zoom en seguridad y privacidad no son una novedad, como esperamos haber indicado. Aun así, al momento de migrar la vida física a la digital por el coronavirus, las personas coincidieron en Zoom como plataforma de videollamadas, antes que por cualquier otra razón –seamos honestos– porque alguien más la recomendó. No realizamos nuestra debida investigación, no leímos las letras pequeñas. Instalamos la aplicación sin siquiera abrir la Política de Privacidad de la compañía porque ¿quién pierde tiempo en eso en Internet?
Cada quien es el principal responsable de los servicios que utiliza. En este tiempo, nuestros dispositivos almacenan información valiosísima que no debería estar a la mano de cualquiera para que la tome. Sin embargo, confiamos en la bondad de cualquier aplicación y le abrimos la puerta a nuestros dispositivos con total promiscuidad, sin ningún reparo en potenciales infecciones.
Así como se ha promovido la higiene para frenar el contagio de Coronavirus, también debemos promover la higiene digital para frenar el contagio con aplicaciones maliciosas o deficientes. Utilizar aplicaciones de fuente abierta puede ser una de las mejores decisiones pues, así no dispongamos de conocimientos técnicos, es probable que desarrolladores hayan auditado públicamente el código. De esta manera también se promueve una cultura de transparencia en Internet. Además, siempre se puede googlear el historial de una aplicación antes de instalarla. Higiene digital también es educar y compartir con otros nuestros hallazgos.
Descargo de responsabilidad: los puntos de vista y opiniones expresadas en este artículo pertenecen a su autor y no necesariamente reflejan aquellas de CriptoNoticias.
