La popularización de la ‘app’ de videoconferencias durante la cuarentena deja en evidencia su capacidad tanto para proteger datos personales como para evitar fraudes y ciberataques.
Antilavadodedinero / Elpaís.com
Una simple línea de código ha abierto la caja de Pandora de la privacidad y la seguridad de la app de videoconferencias Zoom. Una línea con la que la propia empresa activaba un kit de desarrollo de software –más conocido como SDK por sus siglas en inglés– de Facebook que permitía tanto a la red social como a la aplicación recopilar sin consentimiento de los usuarios determinados datos como la IP, el tipo de dispositivo, el sistema operativo y la ubicación y uso horario de la conexión. “Ha afectado únicamente al ecosistema de Apple. Este lunes ya enmendaron el error, pero el daño está hecho. Han amasado datos masivos tengas o no cuenta de Facebook. Ahora pueden perfilar a quienes se hayan conectado”, asegura la abogada Natalia Martos, fundadora de Legal Army.
Ayer mismo, el INCIBE advirtió que Zoom ha publicado un aviso de seguridad alertando sobre una vulnerabilidad para los usuarios de Windows que podría permitir a los ciberdelincuentes robar información confidencial y ejecutar archivos en el dispositivo de la víctima.
Todas estas prácticas han llevado a la fiscal general de Nueva York, Letitia James, a abrir una investigación judicial. En una carta remitida a la organización, pide que especifique qué clase de información recopila, con qué propósitos y a qué otras entidades facilita datos de los consumidores. “Es una empresa que no tiene en cuenta la privacidad. Aunque sea difícil de probar, esto es una venta de datos en toda regla. Ha sacado tajada. Nadie vende información gratuitamente. Más o menos es lo que sucedió con Cambridge Analytica”, argumenta Martos. Pero esta falta de privacidad solo representa la punta del iceberg de todas las polémicas que ha destapado la cuarentena impuesta por el coronavirus en una aplicación cuyas descargas han crecido gracias al confinamiento el 86% en un mes, de acuerdo con el portal Crunchbase.
Una investigación de The New York Times ha revelado este jueves que la aplicación contaba con una función de minería de datos, nada más iniciar la sesión, que unía automáticamente los nombres de los usuarios y las direcciones de correo con los perfiles de LinkedIn. Daba igual que durante la llamada alguien utilizara un pseudónimo u optara por el anonimato. Si un usuario activaba el servicio LinkedIn Sales Navigator, podía acceder a los perfiles de esta red social de otros participantes en la videollamada al clicar en un icono junto a sus nombres. El CEO de la compañía, Eric S. Yuan, ha anunciado que durante los próximos 90 días congelará este tipo de opciones para corregirlas y revertir los problemas de seguridad y privacidad detectados.
Ataques de trolls, intromisión en videollamadas ajenas, enlaces públicos de las salas, una configuración predeterminada para el intercambio de archivos que permite enviar malware… Una acumulación excesiva de vulnerabilidades para el éxito cosechado recientemente. El uso de Zoom se ha popularizado durante esta crisis gracias a la llegada a marchas forzadas del teletrabajo, videollamadas entre amigos y familiares, clases a distancia y todo tipo de conexiones en remoto.
Según transcurren los días, las polémicas se multiplican. Algunos usuarios han confirmado que es relativamente sencillo que alguien controle su actividad mientras están usando la aplicación. Por ejemplo, la función One Zoom avisa a quien realiza la llamada si un invitado ha estado más de 30 segundos sin el programa abierto en primer plano. De esa manera un jefe podría saber si alguien ha seguido una reunión con más o menos atención. La gestión de los correos electrónicos también ha generado controversia. La aplicación agrega automáticamente a otras personas a la lista de contactos de un usuario si se registran con un mail que comparte el mismo dominio. Puede ayudar en la búsqueda de algún compañero específico, aunque la cara oculta es que la compañía, al unificarlos como si trabajaran para la misma organización, expone la información personal entre todos. “Si esto ocurre en la Unión Europea, la multa sería impresionante”, zanja Martos.
Zoom se ha defendido de las acusaciones con una entrada en su blog corporativo. Argumenta que no vende ningún tipo de información personal; que respeta leyes de privacidad como el Reglamento europeo de protección de datos y la normativa californiana, conocida como CCPA; y que no controla reuniones ni tampoco el contenido intercambiado. Esto último ha levantado cierto revuelo. Lo adelantaba el medio digital The Intercept al afirmar que no existe un verdadero cifrado de extremo a extremo en las videollamadas, sino uno TLS. Es decir, terceros no acceden al audio y vídeo, pero la app sí puede hacerlo mediante el servidor por el que discurre la información. “Continuaremos mejorando y evolucionando nuestro enfoque de privacidad para asegurarnos de que estamos haciendo lo correcto para nuestros usuarios”, precisa la empresa.
Entre tanto río revuelto, los ciberdelincuentes aprovechan el momento para timar a los usuarios. Pese a ser una aplicación gratuita, en las tiendas móviles podemos encontrarla por unos cuatro euros. Es un ejemplo evidente de phishing –un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza al hacerse pasar por una persona, empresa o servicio de confianza–. Suplantan la imagen de Zoom por otra idéntica, como si superpusieran la identidad falsa sobre la original. “No hay recetas mágicas para detectarlo. Hay que tener mucha precaución y comprobar todo. Si nos fijamos bien, las empresas suelen incorporan datos de autenticidad”, sostiene Óscar Lage, experto en ciberseguridad de Tecnalia.
Reparar parte de los errores resulta ya imposible. Como mantiene Lage, estos problemas son el resultado de unos productos que, simplemente, se fijan en la funcionalidad. “No se incluye la privacidad y la seguridad desde el principio. La única solución que les queda es ir parcheando la app. Lo ideal sería utilizar aplicaciones basadas en el código abierto, mantenidas por la comunidad y auditables”, explica. Existen más opciones para mantener el contacto digital o seguir trabajando desde casa. Cada una con sus características y limitaciones, pero el éxito de Zoom no ha monopolizado las videollamadas. “Google Hangouts y Skype serían unas buenas alternativas. Están sometidas a una privacidad muy estricta”, concluye Martos.