Zoom, la app del momento, en la mira por sus fallas de seguridad

La popularidad de la aplicación para videoconferencias Zoom subió como la espuma en la crisis del coronavirus: en pocas semanas, el número de usuarios pasó de diez a 200 millones al día. Pero los problemas de seguridad y privacidad de la app de la compañía con base en Silicon Valley, Estados Unidos, se propagaron con la misma rapidez. No pasa un día sin que se cuestione el dudoso tratamiento que hace de los datos privados o se conozcan nuevos déficits en seguridad.

El fabricante de coches eléctricos Tesla y la compañía espacial SpaceX pidieron a sus empleados que no utilicen la aplicación por serias lagunas en seguridad. Tras problemas de privacidad registrados en el dictado de clases remotas, las escuelas públicas de la ciudad de Nueva York instaron a sus profesores a cambiarse a los servicios de la competencia, en concreto al servicio de Microsoft. También las autoridades de Taiwan dejaron de utilizar Zoom por motivos de seguridad. El jefe de la compañía, Eric Yuan, habla de noches de insomnio: "Si cometemos de nuevo un fallo, se acabó", reconoció en declaraciones al Wall Street Journal.

Zoom existe desde hace algo más de ocho años. Antes de que su uso creciese de forma exponencial debido a la pandemia, tenía un valor en bolsa de 20.000 millones de dólares, actualmente su valor se eleva a los 34.000 millones de dólares. Centrado en clientes corporativos, Zoom permaneció desconocido para el público en general hasta que la amenaza del coronavirus trajo consigo el confinamiento. El uso de Zoom no sólo se disparó para llevar a cabo conferencias corporativas sino también para la enseñanza en remoto, celebraciones de cumpleaños a distancia o sesiones virtuales de yoga.

Es sorprendente cómo Zoom se hizo con la cuota de mercado de las videollamadas y otros servicios de chat de otros grandes proveedores como Apple, Google e incluso Microsoft -propietario de la herramienta pionera en este entorno, Skype-. Una evaluación del proveedor de equipos para redes Nokia reveló que la mayor parte del crecimiento del tráfico de datos en las videoconferencias se debió a Zoom. El uso sencillo del sistema ayudó -normalmente basta con hacer clic en un enlace y el usuario está dentro-. Sin embargo, el énfasis en la sencillez de uso también sentó las bases de enormes problemas de privacidad que se hicieron evidentes cuando Zoom dejó de ser utilizado en entornos corporativos protegidos y pasó a ser usado de forma masiva.

Enseguida se registraron interferencias, denominadas "Zoombombing" o bombardeo Zoom, es decir intrusos ajenos a la convocatoria que irrumpen en las videoconferencias. Para realizar una de estas intromisiones basta con conocer el enlace o el ID de la conferencia, lo cual es fácil si el organizador no estableció una sala de espera para permitir uno a uno la entrada de participantes a la reunión o su acceso a la misma no fue protegido por una contraseña.

No se trata de bromas inofensivas, el "Zoombombing" interrumpió servicios religiosos   clases de centros educativos públicos con incitaciones racistas y la exhibición de símbolos nazis en Estados Unidos. En las reuniones virtuales de Alcohólicos Anónimos, piratas informáticos filtraron fotos de gente consumiendo alcohol. Un estudio llevado a cabo por el periódico New York Times detectó grupos en los que se idearon este tipo de ataques en la denominada "dark net" o Internet oscura, pero también en Instagram.

Zoom reaccionó y amplió la configuración de contraseñas y salas de espera como opciones predeterminadas, cuya efectividad está por demostrar.  Pero el "Zoombombing" no es el único problema del que adolece el servicio. Según los expertos, las medidas de seguridad de Zoom contienen fallos flagrantes.

"Cuando se trata de seguridad, Zoom es descuidado en el mejor de los casos y malicioso en el peor", critica el experto en criptografía Bruce Schneier. "La encriptación en Zoom es terrible", asegura. Por su parte, investigadores de la Universidad de Toronto, Canadá, descubrieron que Zoom utiliza un método de cifrado considerado inadecuado por la comunidad internacional. La compañía también tuvo que retractarse de su afirmación de que los datos estaban protegidos con una encriptación de extremo a extremo -lo que garantizaría que sólo los usuarios y receptores tienen acceso a los datos no codificados-.

Otras vulnerabilidades: la transferencia de datos a Facebook sin permiso, la agrupación arbitraria de usuarios con el mismo servicio de correo electrónico, el desvío de algunas conferencias a través de servidores en China y el acceso a las direcciones de Internet en las que se almacenan grabaciones de las conferencias. El jefe de Zoom, Yuan, anunció que, en los próximos tres meses, en lugar de introducir nuevas funciones tiene la intención de solucionar los déficits de la aplicación.

Por su parte, los comisarios de protección de datos de Alemania tampoco recomiendan el uso de aplicaciones rivales de Zoom como las de Microsoft, Google, Facebook o Apple, sino que proponen sistemas de código abierto. Una de las aplicaciones más populares de videoconferencia con código abierto es BlueBigButton. El proyecto se puso en marcha en 2007 en la Universidad canadiense de Carleton en Ottawa con el objetivo de que crear una videoconferencia fuese tan fácil como pulsar un gran botón azul. BlueBigButton no sólo está disponible bajo licencia abierta, sino que también puede ser operado por un servidor o por proveedores de servicios como Lern.Link en Alemania.

Los comisarios de protección de datos de los estados federados germanos tampoco tienen nada que objetar a la solución abierta de Jitsi Meet, que se originó en la Universidad de Estrasburgo, en Francia. El sistema está disponible gratuitamente para particulares en varios servidores como https://meet.jit.si/. Los usuarios profesionales pueden contratar a proveedores de servicios como el austriaco Fairmeeting, que promete operar sobre la base del Reglamento Básico Europeo de Protección de Datos.