Con más de un tercio de la población mundial en diversas formas de confinamiento en sus casas a causa de la pandemia por COVID-19, las aplicaciones de videollamadas han tenido un auge brutal en las últimas semanas. Y entre ellas ha destacado Zoom, una desconocida para buena parte del gran público pero que ha sumado según algunos informes más de 100 millones de usuarios diarios en estas fechas.
Sin embargo, en mitad de su mayor éxito, Zoom se ha revelado como una aplicación con multitud de fallos de seguridad y privacidad. Y lo que añade más leña; con una respuesta por parte de la compañía muy tibia y engañando a sus usuarios sobre sus términos y condiciones.
No hablamos de algo menor ni de brechas de seguridad que solo preocupen a la gente más concienciada: la última revelación, de este mismo viernes la ha publicado The Washington Post, es que hay miles de grabaciones de Zoom accesibles en internet con una sola búsqueda. Al parecer, las grabaciones de Zoom se guardan con una nomenclatura común que es fácil de rastrear en distintos servicios en la nube con una simple búsqueda y que el diario no ha revelado para no exponerlos aún más.
El Post fue informado de esta vulnerabilidad por un antiguo analista de la NSA, que dice haber encontrado cerca de 15.000 archivos simplemente buscándolos con esta nomenclatura. En ellos hay desde clases online, reuniones de trabajo a conversaciones de amigos o desnudos en conversaciones íntimas.
El problema que ha dado con estos vídeos expuestos radica en la falta de medidas de seguridad que tiene Zoom para hacer que sus llamadas sean más ágiles. Por ejemplo, gracias a su facilidad para acceder con comodidad desde un enlace, se está haciendo común lo que ya se conoce como ‘zoombombing’: personas desconocidos que tras llegar a ese enlace de distintas formas irrumpen en conversaciones ajenas con imágenes obscenas o insultado.
De vuelta al último gran agujero de los vídeos expuestos, la brecha está en que Zoom permite al anfitrión grabar cualquier llamada. El resto de participantes ve una advertencia, pero no tiene que dar su permiso explícito. Después, Zoom guarda esa grabación en sus propios servidores (que también se ha revelado que no tienen una protección adecuada, luego iremos con ello) y al anfitrión para descargarlo en su ordenador. El problema es que Zoom de nuevo para dar mayor agilidad, no exigía al anfitrión hasta ahora cambiar el nombre del archivo de la grabación, dando lugar a esta nomenclatura común y fácil de encontrar. Después, si el usuario subía el vídeo a algún servicio gratuito en la nube, a Youtube, o no era ducho a la hora de mantener el video en privado, quedaba visible en una búsqueda en la web.
Ante todo esto, Zoom dijo en un comunicado que "proporciona una manera segura para que los usuarios almacenen sus grabaciones" y ofrece guías sobre cómo pueden mejorar la seguridad de sus llamadas. "En caso de que los anfitriones luego elijan cargar las grabaciones de sus reuniones en cualquier otro lugar, les instamos a que sean extremadamente cautelosos y sean transparentes con los participantes de la reunión, considerando cuidadosamente si la reunión contiene información confidencial y las expectativas razonables de los participantes", rezaba el comunicado, que no hacía referencia al problema de la nomenclatura común que permite encontrarlos en masa. Cinco personas identificadas en los videos que vio The Post dijeron que no tenían idea de cómo se filmaron las imágenes en línea.
Pero, repetimos, este solo ha sido el último escándalo que ha afectado a Zoom en cuestión de días. Así ha sido la historia de su auge y su actual polémica, ¿y rápida caída?
Zoom, de nuevo ‘unicornio tecnológico’ a agujero de privacidad que hace videollamadas
Zoom fue creada en 2012 por Eric Yuan, un ingeniero informático de origen chino que en los 90 participó en el lanzamiento de WebEx, la pionera en la solución para videollamadas que acabó siendo comprada por Cisco.
Como ha contado en varias entrevistas, su principal leitmotiv para intentar superar a Skype o Hangouts ha sido hacer su aplicación más sencilla. “Nadie guarda un buen recuerdo la primera vez que usa una aplicación de videollamada”, llegó a decir en una entrevista para la CNBC. De ahí sus funcionalidades que ahora se han vuelto grandes problemas: facilidad para acceder por enlace, disminuir los pasos en pos de la agilidad, y el gran aliciente de poder conectar hasta a 100 personas a la vez.
El negocio de Zoom está en sus planes premium, que comienzan para hacer llamadas superiores a los 40 minutos o crear ecosistemas de empresa. Apple, Space X o la NASA por ejemplo la usaban, hasta que los recientes escándalos hayan hecho que dejen de hacerlo, asestando un golpe más a su popularidad.
Así, en abril de 2019 Zoom salió a bolsa. Sus acciones se doblaron desde los 30 dólares en la jornada de apertura, lo que llevó a nombrar como un nuevo ‘unicornio tecnológico’, pero, a diferencia de otras nuevas empresas cotizadas, Zoom ha sido hasta ahora rentable. En el último trimestre de 2020 reportó un beneficio de 15 millones de dólares.
Su fama como solución óptima y moderna para las videollamadas ha ido creciendo en el mundo empresarial hasta explotar por la pandemia. Cuando toda la bolsa caída a comienzos de marzo, las acciones de Zoom pasaban de 50 a 150 dólares. Cuando se escriben estas líneas, tras los escándalos, han bajado a 128.
Su crecimiento en usuarios también ha sido exponencial. De los 10 millones de 2014, a los 40 de 2018 y los más de 77 que según SensoTower habría conseguido solo en marzo de este año debido a la cuarentena.
Sin embargo, como decíamos, sus escándalos han sido múltiples y no solo en estos últimos días, algunos van a cumplir pronto el año.
Los escándalos de privacidad de Zoom. Una lista extensa:
- Julio de 2019: Se desvela que la aplicación expone la cámara de los Mac. El fallo en cuestión explotaba de nuevo la característica en la que es posible conectarse a través de un enlace directo. Este se abre a través de un navegador en un servidor local que abría una puerta para que webs maliciosas pudieran activar nuestra cámara incluso tras desistalar la app. Al final Apple fue la que corrigió el error con una actualización discreta de sus dispositivos.
Apple pone freno a la vulnerabilidad provocada por Zoom
- 27 de marzo de 2020: ya en medio de la cuarentena, Motherboard hace público que Zoom envía datos a Facebook sin avisar en sus políticas de privacidad. En ellos se extrae el dispositivo, la ubicación y otros datos óptimos para la integración con anuncios de Facebook. Zoom emite un primer comunicado disculpándose y diciendo que lo ha solucionado con una actualización.
Un fallo en Zoom permite a los sitios web acceder a la cámara de millones de Mac
- 30 de marzo de 2020: el analista de seguridad Felix Seele avisa de que el instalador de Zoom para Mac usa scripts sin solicitar permiso al usuario que, bajo la apariencia de automatizar la instalación, da a la app privilegios en el sistema.
-
31 de marzo de 2020: El medio The Intercept desvela ahora que las videollamadas de Zoom no están cifradas de extremo a extremo, como anuncia. Esto hace que en sus servidores puedan estar expuestas a vulneraciones. Sin entrar de forma muy técnica, Zoom usa un sistema que solo cifra en el emisor y el receptor, pero no en sus propios servidores. La empresa se excusa ante el medio diciendo que cifrado extremo a extremo es poco menos que una forma de hablar. "Cuando usamos la frase 'End to End' en nuestra forma de ver, es en referencia a que la conexión que se encripta desde punto a punto en Zoom", escribió un portavoz de la compañía.
-
1 de abril: una nueva brecha, ahora en Windows, hace que las contraseñas queden expuestas.
-
3 de abril: el Post publica que miles de videollamadas de Zoom son accesibles con una simple búsqueda en la web.
El drama de Zoom culmina poniendo en riesgo tus contraseñas en Windows
Con todo ello, Zoom ha anunciado que por ahora parará todas las nuevas implementaciones y se pondrá a trabajar en reparar todos estos problemas, en palabras de su propio CEO, Eric Yuan.
Veremos hasta qué punto quedan tocados o hundidos, o Zoom entra a formar parte del catálogo de escándalos de privacidad online que tuvieron cierta repercusión, pero que acabaron siendo pasados por alto a la larga.