Miles de empresas e individuos han recurrido al uso de plataformas de videoconferencia ante la imposibilidad de poder desplazarse a los centros de trabajo, lo que ha incrementado la popularidad de estos servicios, especialmente de la compañía Zoom. No obstante, su popularidad ha llamado la atención de firmas y especialistas en seguridad en la nube preocupados por los posibles fallos de seguridad que podrían exponer información confidencial de los usuarios.
A pesar de estas dudas en materia de ciberseguridad, el Departamento de Defensa de E.U. (DOD) se ha convertido en uno de los principales clientes de la plataforma de videoconferencias, empleando sus servicios para asuntos no clasificados, así lo reconoció el teniente coronel Robert Carver, portavoz de la agencia: “El personal del DOD está capacitado en ciberseguridad, aunque reconocemos que no existe un protocolo oficial para el uso de Zoom”.
Los investigadores en seguridad en la nube consideran que las preocupaciones sobre la seguridad en Zoom no son infundadas. Para comenzar, la plataforma es muy poco clara acerca de cómo funciona su software y qué permisos requiere obtener en el sistema del usuario. Además, se ha confirmado que Zoom recolecta datos para enviarlos a Facebook, sin olvidar la presencia de dos vulnerabilidades que podrían ser explotadas en conjunto para obtener acceso a un sistema con Zoom instalado. La seriedad de estos problemas varía dependiendo del dispositivo del usuario.
Zoom también ha mentido intencionalmente a sus usuarios. La plataforma afirmaba contar con cifrado de extremo a extremo para cada sesión, no obstante, especialistas en seguridad en la nube detectaron que las sesiones de videoconferencia no estaban completamente protegidas y, para empeorar el panorama, algunas de las claves de cifrado para el audio y video en Zoom eran entregadas a los usuarios a través de servidores localizados en China, lo que hizo a muchos dudar de la privacidad en el servicio. La compañía tuvo que modificar su propaganda, dejando en claro que no contaba con cifrado de extremo a extremo.
Peter Singer, especialista en ciberseguridad, considera que el uso de esta plataforma puede ser inapropiado, especialmente cuando muchas otras organizaciones (empresas, universidades, entre otras) han optado por dejar de usar Zoom: “Puede que ahora mismo este no sea un problema para el DOD; un actor de amenazas podría acceder a mínimas porciones de información aparentemente inútil. Sin embargo, una labor de recolección de datos sistemática podría resultar de gran utilidad a largo plazo”, afirma el experto.
A largo plazo, un potencial escenario de ataque basado en Zoom podría permitir realizar conferencias deep fake. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), las características actuales de Zoom no bastarían para proteger una sesión contra esta variante de ataque, principalmente debido a la calidad de las transmisiones.
Es evidente que Zoom presenta serios inconvenientes de seguridad. Especialistas en seguridad en la nube consideran que, antes de emitir un juicio contra la plataforma, debe realizarse una exhaustiva investigación y determinar si existe premeditación en los errores existentes en la plataforma, pues las condiciones actuales en el mundo seguirán favoreciendo el crecimiento en el uso de este servicio, y los nuevos usuarios deberán estar plenamente conscientes de qué protecciones ofrece Zoom.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad