¿Es seguro usar Zoom?

Es seguro usar Zoom?
Es seguro usar Zoom?
Es seguro usar Zoom?

Se ha dicho mucho en los últimos días sobre Zoom – y mucha gente por distintos motivos, algunos de ellos de buena fe, ha dicho públicamente a otros “no uses Zoom”.

Lo cierto es que gran parte de la información que hay disponible está preparada en el mismo formato: un titular donde dicen “descubren fallas en zoom” y un texto donde hablan de vulnerabilidades descubiertas en abril y noviembre del año pasado y subsecuentemente corregidas en menos de un mes.

A esto se le une reportes no fundamentados en evidencia donde personas dicen “es que me jaquiaron mi cuenta de netflix” – en la que una investigación de menos de 15 segundos en Google revela ser parte de un esfuerzo que no es de ahora llamado “credential stuffing”, donde la fuga de información en un servicio (por ejemplo, Yahoo en 2012) permite que criminales intenten todos los servicios posibles con la misma contraseña a ver con cuál “pegan” para luego vender la cuenta. Los usuarios más susceptibles son los que repiten contraseñas y no utilizan doble factor de autenticación – donde el servicio te contacta por un segundo método, como un mensaje de texto al teléfono.

Cierto es que muchas de las cosas que le achacaron en el pasado a Zoom fueron por malas prácticas de programación – pero examinándolas a fondo fueron por pereza y no por malicia. Aún así, ya el año pasado empezaron a trabajar con firmas de seguridad – incluyendo Checkpoint, que es una firma israelí de seguridad entre las principales del planeta – para mejorar sus prácticas.

Se habla de que Zoom no es cifrado o no tiene cifrado. Esto es falso. Lo cierto es que Zoom exageró en sus capacidades de cifrado al describir el servicio; su cifrado no es sino equivalente al más básico que se utiliza con los sitios web de banca en línea, que es un cifrado de 128 bits. Este nivel de cifrado es básico pero adecuado para la mayoría de los casos.

También se habla de que no hace cifrado de punto a punto, en el que Zoom no tiene acceso a las conversaciones. Esto tampoco es completamente cierto. Tomemos una situación hipotética donde Alberto, Bolívar y Carlos son tres usuarios. Si Alberto y Carlos se comunican por Zoom, Zoom no tiene por qué tener acceso a la comunicación y la conversación va cifrada. Si Alberto y Carlos deciden incluir a Bolívar, o si quieren grabar la conferencia en la nube de Zoom, o si quieren utilizar funciones adicionales, el servicio de Zoom en sí tiene que ser un participante adicional para poder arbitrar todo – por lo que tiene que tener acceso a la comunicación. Esto ciertamente permitiría que Zoom tuviese acceso a las conversaciones – y la solución sencilla es no usar Zoom para conversaciones que no quisiéramos que Zoom pudiese escuchar o grabar, y optar por otras herramientas.

Se habla también que Zoom “comparte su información con China”. Esto también es falso – y algo racista. Resulta que si una empresa quiere poder operar en China con datos cifrados, tiene que tener presencia en China. Es por ley. Hay empresas que optan (como Google) por no tener sus servidores en China, por la razón que sea. Entonces simplemente no pueden operar ahí con datos cifrados, punto. Cuando alguien en Zoom se conecta estando físicamente en territorio Chino, se usa uno de cinco servidores en China para guardar los datos en tránsito. Si necesitas comunicarte con una persona que está físicamente en China y no quieres que los datos de la conversación se almacenen en China, tendrás que optar por otra herramienta que no sea Zoom.

Se habla de que Zoom compartió información de sus usuarios con facebook y linkedin. Además que esto ya no se está dando y fue parte de herramientas adicionales a Zoom que la gente utilizaba para asociar a los asistentes a las conferencias con sus datos para poderlos contactar, cosa que Zoom ya bloqueó, es lo mismo que cuando vamos a una conferencia y antes de entrar nos preguntan quiénes somos. Podemos no entrar, podemos dar datos falsos o podemos dar los datos nuestros si queremos.  Si el problema es que no queremos que nos vean o nos asocien, Zoom no es la herramienta que debemos usar.

Se habla de que a las personas “se les metían en las conversaciones”. Este fenómeno, conocido como “zoombombing”, se daba porque la gente no utilizaba bien la herramienta y simplemente se les hizo más fácil echarle la culpa a Zoom. Los enlaces para las conferencias tienen la opción de tener contraseña para limitar el acceso a terceros. Aún si la contraseña cae en manos de terceros Zoom cuenta con una “sala de espera virtual” donde el anfitrión le da acceso a quien decide. Zoom cuenta con la opción de que todos los que entran tengan apagada su cámara y su micrófono en el momento en que entran. El que aún así la gente escoge apagar todas esas funcionalidades ya es cuestión de problema no tecnológico sino de salud mental.

Muchos también señalan “Google prohibió a sus trabajadores que lo usen” – sí, porque Google tiene un producto que compite directamente con Zoom y que no le iba mal hasta que Zoom saltó de 10 millones de usuarios a 200 millones casi de un día para otro.

Muchos también dicen “pero en California los demandaron” – sí. Y hasta ahora no han brindado evidencia que indique que el problema fue causado por el software y no por mal uso por parte del usuario.

En fin, yo seguiré usando Zoom – y todos los demás programas que uso – mientras no haya razón de peso para no usarlo. Quien quiera usar Zoom – o cualquier otra herramienta, como Microsoft Teams, Google Meet, Cisco WebEx, o software libre como Jitsi – que me avise y con gusto vemos cómo le puedo ayudar a usarlo de manera adecuada y segura de acuerdo a su nivel de riesgo.