Zoom, Zoombombing

Zoom, Zoombombing

 

Zoombombing

Zoombombing , Zoom-bombing o Zoom raiding es la intrusión no deseada en una llamada de videoconferencia por un individuo, que causa interrupción. El término se popularizó en 2020, después de que la pandemia COVID-19 obligó a muchas personas a quedarse en casa y las empresas, las escuelas y los grupos sociales utilizaron la videoconferencia a gran escala. El término se asocia y deriva del nombre del programa de software de videoconferencia Zoom , pero también se ha utilizado para referirse al fenómeno en otras plataformas de videoconferencia.

 

¿Qué es el zoom?

Zoom es un servicio de videoconferencia basado en la nube que puede usar para reunirse virtualmente con otros, ya sea por video o solo audio o ambos, todo mientras realiza chats en vivo, y le permite grabar esas sesiones para verlas más tarde.

Zoom fue fundada en 2011 por Eric Yuan, un empresario chino afincado en Silicon Valley. Desde entonces no ha parado de crecer. Pero su expansión se ha acelerado exponencialmente en las últimas semanas con la crisis mundial generada por el coronavirus. De hecho, la aplicación se ha colado entre las más populares tanto de la App Store como de la Play Store. En esta última tienda ha sido descargada en más de 100 millones de dispositivos.

En diciembre de 2019 el número máximo de participantes al día en videollamadas de Zoom fue de 10 millones. En marzo de 2020 la aplicación llegó a superar los 200 millones de usuarios al día, según datos facilitados por la compañía.

El confinamiento decretado por el coronavirus ha disparado el número de empresas, instituciones y particulares que optan por este servicio para comunicarse. Pero en las últimas semanas la aplicación se ha visto involucrada en múltiples polémicas relacionadas con la seguridad y la privacidad. Compañías como Google y SpaceX e incluso la NASA han prohibido a sus empleados que la utilicen durante el teletrabajo.

Pero, ¿hasta qué punto tiene sentido este veto? ¿Es inseguro utilizar Zoom para hacer videollamadas? ¿Otras alternativas como Skype o Google Hangouts son más seguras?


El auge de la plataforma ha llevado a decenas de expertos en seguridad y privacidad a poner toda su atención en ella. De la misma forma, lo han hecho cibercriminales. Mientras que los trolls han aprovechado el uso masivo de la app para colarse en videoconferencias públicas y proyectar en la pantalla de otros usuarios porno o contenido violento, también ha aumentado el número de dominios falsos registrados que se hacen pasar por Zoom para engañar a los usuarios.


“El problema que ha tenido Zoom es que ha crecido muy rápido y en muy poco tiempo. Esto ha provocado que muchos ojos se pusieran en ella y se hayan encontrado muchos agujeros de seguridad”.

Centrar toda esta polémica en Zoom no tienen ningún sentido”: “No hay ninguna aplicación segura al 100%. Pero ni de videoconferencias ni en cualquier otro ámbito. Otras aplicaciones como Skype, Google Hangouts o Cisco Webex Meetings también han presentado vulnerabilidades en mayor o menor medida y las han corregido”.


Zoom dice estar trabajando “sin descanso” para garantizar que todos los usuarios puedan mantenerse en contacto. En los últimos días ha ofrecido sesiones de formación y tutoriales gratuitos a los internautas y afirma tomarse muy en serio “la privacidad, la seguridad y la confianza del usuario”. “La compañía está muy involucrada proactivamente en asegurarse de que los usuarios entienden las políticas relevantes, así como las mejores formas de usar la plataforma y proteger sus vídeo comunicaciones”, según fuentes de la empresa.


Sin embargo, los anuncios de nuevas vulnerabilidades en la app se han sucedido de forma continua en las últimas semanas. A la filtración de direcciones de correo electrónico y fotografías revelada por el portal Motherboard, se suma que miles de grabaciones de llamadas quedaron expuestas en la web, tal y como adelantó The Washington Post. La aplicación también contaba con una función de minería de datos que unía automáticamente los nombres de los usuarios y las direcciones de correo con los perfiles de LinkedIn, según una investigación de The New York Times. E incluso el Instituto Nacional de Ciberseguridad de España (Incibe) advirtió de una vulnerabilidad que podría permitir a los ciberdelincuentes robar información confidencial y ejecutar archivos en el dispositivo de los usuarios de Windows.


A principios del mes de abril, Zoom puso en marcha un plan de 90 días para “dedicar los recursos necesarios para identificar, abordar y solucionar problemas de manera proactiva”. Gran parte de las vulnerabilidades halladas ya han sido solucionadas. Y, según Albor, en “un tiempo récord”: “Hay veces que para solucionar vulnerabilidades en algunas empresas se tardan meses e incluso años”. Aún así, todos estos problemas detectados han provocado la prohibición de su uso en escuelas de la ciudad de Nueva York y de Singapur. También el veto por parte del Gobierno de Taiwan, el senado de Estados Unidos o empresas como Space X o Google.


Para Albor, que la compañía de Mountain View prohiba el uso de Zoom “tiene su lógica porque ellos tienen su propia solución”. Zoom ha descartado valorar la decisión de estas empresas y organismos. Se limita a insistir en que para la empresa la seguridad “es muy importante”: “Un gran número de instituciones a nivel global, desde algunas de las compañías de servicios financieros más grandes del mundo y proveedores de telecomunicación hasta ONG y gobiernos en toda Europa han realizado un exhaustivo análisis de seguridad de nuestras capas de usuario, red y centros de datos y continúan usando Zoom para sus necesidades de comunicación”.


Los datos de los usuarios


La app también ha sido criticada por los datos que recopila de los usuarios y el uso que hace de ellos. Samuel Parra, especialista en protección de datos, asegura que “Zoom no está siendo transparente en lo que se refiere a informar al usuario de qué datos está realmente recopilando, para que los recopila y si los están compartiendo o no”. La compañía recoge información relativa a la ubicación, el tipo de dispositivo, el sistema operativo, los horarios de conexión o la dirección IP.


Hasta hace unos días Zoom para iOS compartía datos de uso con Facebook sin permiso. Incluso cuando los usuarios no tienen una cuenta en la red social. Esta información no se explicaba en los términos y condiciones del servicio. La compañía rectificó tras la polémica y solucionó el problema. Parra, que trabaja la consultora especializada en protección de datos Égida, subraya que también se ha pedido a la Comisión Federal de Comercio de Estados Unidos (FTC, en sus siglas en inglés), que investigue la aplicación por exponer a los usuarios a que terceros puedan activar su cámara web de forma remota sin su conocimiento ni consentimiento.


Poner contraseñas a las reuniones y actualizar la ‘app’: así pueden protegerse los usuarios


Los usuarios también tienen un papel importante a la hora de garantizar la seguridad durante las videollamadas.

Para evitar incidentes, Zoom les anima a que organicen sus configuraciones de manera que solo los anfitriones puedan compartir sus pantallas.

También a que utilicen funciones como la "sala de espera" y los controles de silencio de los anfitriones.

Además, aconseja a los usuarios a implementar contraseñas para todas sus reuniones para asegurar que los usuarios no invitados no puedan unirse.

Este tipo de medidas deberían tomarse en todas las aplicaciones de videollamadas. “Es muy importante” descargar las aplicaciones únicamente desde las tiendas o webs oficiales. También utilizar una contraseña compleja que no se haya usado anteriormente, no ofrecer información personal ni datos bancarios a través de la llamada y tener actualizada la aplicación para usar siempre la última versión —la más segura—. “Con el escrutinio constante al que hemos sometido a estas plataformas por parte de los profesionales de ciberseguridad, hoy todas son mucho más seguras que antes de comenzar la crisis del Covid-19”, afirma. En el ámbito corporativo, Domínguez recomienda utilizar la plataforma escogida por cada empresa. Para uso personal, sostiene que todas las plataformas más populares son recomendables si el usuario sigue los consejos mencionados.