Qué significan para usted los esfuerzos de seguridad de Zoom

Tabla de contenido:

Qué significan para usted los esfuerzos de seguridad de Zoom
Qué significan para usted los esfuerzos de seguridad de Zoom
Anonim

Puntos clave

  • La Comisión Federal de Comercio de EE. UU. anunció el 9 de noviembre que había llegado a un acuerdo con Zoom después de alegar que engañó a los usuarios con respecto a la seguridad.
  • El acuerdo requiere que Zoom implemente un "programa de seguridad integral".
  • Zoom dice que ya ha solucionado los problemas y recientemente anunció que introduciría el cifrado de extremo a extremo.
Image
Image

La popular plataforma de conferencias Zoom está reforzando sus prácticas de seguridad como parte de un acuerdo con la Comisión Federal de Comercio (FTC) de EE. UU., tras las acusaciones de la agencia de que engañó a los usuarios sobre su nivel de seguridad.

Zoom se ha convertido en un nombre familiar en cuestión de unos pocos meses, y el mundo recurrió a su plataforma de videoconferencia debido a que la pandemia limitó severamente las reuniones en persona. Sin embargo, una denuncia de la FTC alegó que Zoom "participó en una serie de prácticas engañosas e injustas que socavaron la seguridad de sus usuarios".

Esto siguió al escrutinio de expertos en seguridad a principios de este año, quienes descubrieron que la plataforma no estaba usando cifrado de extremo a extremo a pesar de las afirmaciones de marketing. Zoom también ha visto otros problemas de seguridad durante su aumento de popularidad, como participantes no deseados que colapsan reuniones en una práctica llamada "zoombombing". Como parte del acuerdo con la FTC, Zoom se comprometió a implementar un "programa de seguridad integral".

"Durante la pandemia, prácticamente todos (familias, escuelas, grupos sociales, empresas) utilizan videoconferencias para comunicarse, lo que hace que la seguridad de estas plataformas sea más crítica que nunca", Andrew Smith, director de la Oficina de Protección al Consumidor de la FTC Protection dice en el comunicado de prensa de la agencia.

"Las prácticas de seguridad de Zoom no se alinearon con sus promesas, y esta acción ayudará a garantizar que las reuniones de Zoom y los datos sobre los usuarios de Zoom estén protegidos".

Escrutinio gubernamental

La queja de la FTC alega que Zoom engañó a sus usuarios sobre varios problemas relacionados con la seguridad, el más importante de los cuales se relaciona con afirmaciones sobre el cifrado de extremo a extremo.

Image
Image

Dijo que Zoom ha estado afirmando ofrecer encriptación de 256 bits de extremo a extremo para las llamadas de Zoom desde 2016, pero en realidad proporcionó un nivel de seguridad más bajo. Cuando el cifrado de extremo a extremo está habilitado, solo los participantes en una llamada o chat tienen acceso a la información intercambiada, no Zoom, el gobierno ni ninguna otra parte.

Además, la denuncia alega que Zoom almacenó reuniones grabadas y sin cifrar en sus servidores durante un máximo de 60 días cuando les había dicho a algunos de sus usuarios que se cifrarían de inmediato.

Otro problema se relaciona con el software de Mac llamado ZoomOpener, que permaneció en las computadoras de los usuarios incluso cuando eliminaron Zoom y podría haberlos hecho vulnerables a los piratas informáticos. "Este software eludió una configuración de seguridad del navegador Safari y puso a los usuarios en riesgo; por ejemplo, podría haber permitido que extraños espiaran a los usuarios a través de las cámaras web de sus computadoras", explica el especialista en educación del consumidor de la FTC, Álvaro Puig, en una publicación de blog.

Respuesta de Zoom

Si bien Zoom resolvió recientemente la queja de la FTC, la compañía le dijo a Lifewire en un correo electrónico que "ya ha abordado" los problemas.

"La seguridad de nuestros usuarios es una prioridad principal para Zoom", dijo un portavoz de la compañía a Lifewire en un correo electrónico. Zoom ha tomado varias medidas para responder a las acusaciones de la FTC, incluido el lanzamiento de un plan de 90 días en abril que arrojó más de 100 funciones relacionadas con la privacidad y la seguridad.

Image
Image

Zoom introdujo el cifrado de extremo a extremo a finales de octubre, gracias a la adquisición en mayo de una empresa llamada Keybase. El cifrado de extremo a extremo todavía se encuentra en lo que Zoom llama modo de "vista previa técnica", y la compañía dice que los servidores de Zoom no tienen acceso a las claves de cifrado. Por ahora, algunas funciones están restringidas en el modo de encriptación de extremo a extremo, incluida la capacidad de unirse a la reunión antes que el anfitrión y las salas para grupos pequeños.

Cómo usar el cifrado de extremo a extremo de Zoom

Nitesh Saxena, profesor de informática de la Universidad de Alabama en Birmingham, dice que los esfuerzos de Zoom para implementar un verdadero sistema de cifrado de extremo a extremo es un "paso en la dirección correcta", pero señala que aún queda trabajo por hacer.

"Hay problemas importantes que deben abordarse antes de que esto realmente pueda proporcionar el nivel de seguridad que los usuarios pueden exigir de las llamadas de Zoom", dice.

Saxena, que ha estudiado exhaustivamente la seguridad de Zoom, dice que la seguridad de su método de cifrado de extremo a extremo depende en última instancia del proceso utilizado para validar las claves criptográficas de los participantes de la reunión (un paso clave para mantener a los espías fuera de la llamada).).

En este caso, los usuarios lo comprueban ellos mismos antes de iniciar la reunión. En la primera fase de Zoom de su protocolo de cifrado de extremo a extremo, el anfitrión de la reunión lee un código de 39 dígitos que los demás deben verificar en su pantalla.

Las prácticas de seguridad de Zoom no se alinearon con sus promesas, y esta acción ayudará a garantizar que las reuniones de Zoom y los datos sobre los usuarios de Zoom estén protegidos.

Según la investigación de Saxena y su equipo, este enfoque podría ser propenso a errores humanos si alguien no está prestando atención y accidentalmente acepta un código que no coincide o se s alta el proceso por completo.

Además, los anfitriones y participantes de la reunión deben asegurarse de habilitar el cifrado de extremo a extremo antes de iniciar la reunión, ya que no está activado de forma predeterminada. La investigación de Saxena también descubrió que los tipos de códigos numéricos que usa Zoom también podrían ser propensos a cierto tipo de ataque.

Entonces, los usuarios de Zoom pueden sentirse un poco aliviados de que la plataforma ya haya abordado los principales problemas de seguridad planteados por la queja de la FTC, y ahora ofrece la primera fase de cifrado de extremo a extremo. Sin embargo, los participantes de la conferencia deben tener en cuenta que el uso correcto del nuevo modo de cifrado de extremo a extremo requiere prestar especial atención cuando llega el momento del proceso de validación del código al comienzo de la llamada.

Recomendado: