En los últimos dias ha aparecido en redes sociales y medios escritos bastante información relacionada con la seguridad en el uso de la aplicación informática Zoom, que ante la situación de confinamiento que estamos viviendo, se ha disparado su uso y por tanto, está siendo objetivo de hackers y otros medios poniendo en duda la recomendación de su utilización.
A finales de marzo 2020, se informó de las siguientes vulnerabilidades detectadas en la aplicación:
- Se descubre que al iniciar la aplicación en móviles y tablets de apple con el sistema operativo IOS toma datos del usuario de Zoom y lo envía a la red social Facebook, sin haber autorizado el usuario el envío de dicha información. Entre los datos que se envían a Facebook se encuentra la información de navegación del usuario en el servicio: cuándo se abre la aplicación, detalles del dispositivo, ubicación, compañía telefónica y un identificador publicitario único utilizado para la publicidad dirigida. Esta practica, no muy ética que suele realizar la aplicación Facebook y que ha llevado a escándalos de venta de datos de las que ha sido acusado el fundador de dicha empresa. Esta vulnerabilidad detectada únicamente para los dispositivos IOS ya fue corregida a finales de marzo.
- La siguiente vulnerabilidad informada está relacionada con el uso del Chat integrado en la aplicación, no tiene bien configurado el protocolo de las rutas de acceso UNC para la localización de archivos dentro de una red de equipos informáticos, es decir, de las rutas absolutas, por regla general los servicios digitales convierte en hipervínculos (pinchables) cuando se escribe una dirección web, permitiendo a los usuarios acceder a través de un navegador. En este caso, el cliente web para videollamadas permite que este de tipo rutas de acceso UNC funcione a modo de enlace. Esta brecha de seguridad, podría derivar en que una persona ajena a la organización y con los conocimientos adecuados pudieran robar las credenciales del usuario dentro de una red local de una empresa. Por lo tanto, dentro del uso que se ha dado a la aplicación en las videollamadas realizadas en nuestra organización no consta la activación del chat, y menos del envío de enlaces por ésta vía. Esta vulnerabilidad también ha sido corregida a principios de abril de 2020.
- Otra vulnerabilidad reportada ha sido la no encriptación de las videollamadas extremo a extremo, función que no venía activada por defecto y que requería la activación por parte del usuario, ésto ya se ha corregido en las últimas actualizaciones publicadas de la aplicación.
- Por último también ha sido mejorado el modo de participar en las reuniones, ya que cualquier usuario que tuviese el enlace para entrar en una videoconferencia, podía entrar sin control por parte del administrador de la misma e interrumpir o emitir cualquier tipo de contenidos dentro de la videoconferencia
En conclusión podemos decir que:
1. La aplicación ha tenido una expansión en su uso que ha desbordado toda previsión por parte de la empresa propietaria de la misma, pasando de un parque de 10 millones de usuarios en enero a un uso masivo en éstas fechas de más de 200 millones de usuarios.
2. Ante los problemas de seguridad detectados, la empresa ha actuado con la celeridad requerida y ha publicado nuevas versiones de dicha aplicación, que se puede descargar e instalar de forma gratuita y que resuelve todos los problemas reportados.
3. Según nota de prensa emitida el dia 8 de abril por parte de la empresa, en relación a la última actualización, cabe destacar lo siguiente:
– El administrador de las reuniones tendrá centralizado todo el control de seguridad de la misma.
– Ya no se muestra el ID de la reunión, que en emisiones online podría exponer información de la misma.
– Se ha eliminado la función de seguimiento de asistentes para favorecer su privacidad.
– Se elimina el uso del SDK de Facebook que permitir reportar información del usuario a la red social.
– Sigue desactivada la función de incorporar enlaces en los chats para impedir un uso malicioso de la misma.
– Asimismo ha publicado otra serie de mejoras y novedades de funcionamiento, dirigidas a mejorar la usabilidad y seguridad de las sesiones, que no son relevantes a destacar en éste documento.
Por lo tanto, a día de hoy, con la información reportada por parte de la empresa propietaria de la aplicación, ante las mejoras de seguridad implementadas en la herramienta, no hay motivo para desaconsejar su uso, aunque al igual que con el resto de aplicaciones informáticas, se debe tener actualizada a la última versión disponible, instalada en un equipo con el sistema operativo y los antivirus actualizados y sobre todo hacer uso del sentido común y extremar el cuidado ante mensajes sospechosos, el uso responsable del correo electrónico y precaución con los enlaces e invitaciones recibidas
[wp-phone-message]