¿Es seguro utilizar la aplicación de Zoom?

Llevamos varios días leyendo en varios medios los problemas que ha tenido la aplicación de Zoom en temas de privacidad y seguridad y lógicamente lo primero que nos preguntamos es si es seguro seguir usando la aplicación o es hora de buscar alternativas.

Lo primero que quiero dejar claro es que yo no soy un especialista en seguridad y por supuesto no tengo ninguna relación con la empresa que desarrolla la aplicación. Tan sólo soy un usuario que lo lleva usando desde hace tiempo tanto personalmente como implantándolo en clientes que tienen que hacer reuniones o formación online, principalmente por su facilidad de uso y por el buen resultado que da.

Comento que no soy especialista en seguridad porque si aparece alguna vulnerabilidad tanto en este programa como por ejemplo en el sistema operativo Windows o en WordPress, lo único que hago es tomar las medidas recomendadas y esperar a que aparezca el parche.

Dentro de los problemas que ha tenido Zoom son debido a la aplicación en sí misma y al uso que se hace de ella.

Problemas de la propia aplicación

Por ejemplo, entre los problemas de la propia aplicación se encuentran los que considero más graves, porque ahí no podemos hacer nada para evitarlos, tan sólo esperar a que los solucionen cuanto antes.


Si te he podido ayudar


A continuación te pongo algunas de ellas.

Integración con Facebook

Uno de los primeros que se descubrió era que enviaba datos a Facebook al tener incluída la opción de hacer login a través de esa red social, esta opción se quitó rápidamente.

Encriptación de las comunicaciones punto a punto

Cuando se habla de que las comunicaciones son encriptadas punto a punto, quiere decir que la reunión va encriptada desde el emisor hasta el receptor.

Sin embargo, la encriptación era más bien a nivel de transporte, o sea desde el dispositivo emisor o receptor hasta los servidores de Zoom.

Vulnerabilidad ‘UNC path injection’

Esta vulnerabilidad se produce cuando en el chat de la aplicación de Zoom pones un enlace a un archivo malicioso y la aplicación lo trata como un enlace web y lo ejecuta, de tal manera que podría llegar a obtener las credenciales de Windows.

Esta vulnerabilidad ya se corrigió en una actualización de la aplicación.

Problemas de uso de la aplicación

Además de los problemas de cómo está hecha la aplicación están los propios de cómo se usa la aplicación.

Tenemos que tener en cuenta que el usuario medio es de «Acepto todo sin leer» por lo que muchas veces hay que tener cuidado con qué opciones de configuración se implementan por defecto.

Para crear una aplicación de hacer clic y empezar la reunión, ciertas opciones de seguridad estaban implementadas pero no estaban activadas, lo que provocó lo que se llamó el «Zoombombing». Que es cuando entraba en la reunión gente que no había sido invitada y se dedicaban a compartir pantalla con vídeos obscenos o escribiendo texto ofensivo.

Estas situaciones se daban porque no se había limitado lo suficiente quién y cómo entraba a la reunión, como ya he dicho, las opciones estaban ahí, pero no estaban activadas por defecto.

Cómo configurar Zoom para que sea más seguro

Afortunadamente Zoom tiene un montón de opciones de configuración y podemos activarlas según lo que necesitemos. A continuación te voy a indicar las que más uso según el tipo de reunión que necesite, pero por supuesto revisa todas las opciones que hay para adaptar la configuración a tus necesidades.

Al organizar una reunión

  • NUNCA hagas una reunión con tu ID personal. Tú como usuario registrado de Zoom tienes un ID único, como si fuera un número de teléfono, de modo que si haces reuniones a partir de ese ID, estás dando tu «número de teléfono» a todos los asistentes. Siempre genera una reunión con un ID aleatorio.
  • NUNCA dejes que los asistentes entren a la reunión antes que el anfitrión. Hay una opción dentro de la configuración que hace que llegada la hora de la reunión, los asistentes puedan entrar aunque el anfitrión no se haya conectado. Asegúrate de que esté desactivado, ya que el anfitrión es el que tiene que estar al mando de la reunión, si él no está, que no comience la reunión.
  • NO crees reuniones recurrentes. En la configuración puedes crear una reunión recurrente, que se repita cada equis tiempo a tal hora. Esta opción es muy útil si impartes formación con un horario concreto, pero el problema es que te genera un ID fijo para todas las reuniones, con lo que pierdes el control de dónde puede acabar ese ID y lo tenga gente que no debería estar en la reunión.
  • NO permitas compartir pantalla a los asistentes. Puede ocurrir que sin querer, o no, los asistentes se pongan a tocar botones y de repente desaparece la vista del orador y se ve para todos una pantalla de un navegador o fotos o cualquier cosa que tengan en ese momento activado. Si quieres que alguien comparta su pantalla, dale permiso expreso.
  • PUEDES habilitar una sala de espera. De tal manera que aunque alguien tenga los datos para acceder a la reunión, cuando se conecta, se queda a la espera de que el anfitrión le de permiso a entrar, de modo que puedes evitar la entrada a alguien que no conozcas.
  • PUEDES poner una contraseña a la reunión. Para acceder a una reunión te hace falta el ID de dicha reunión, pero además puedes especificar que para entrar además tengan que poner una contraseña específica, lo que añade una capa más de seguridad a la entrada.
  • PUEDES limitar el chat. Dependiendo del tipo de reunión que hagas puedes hacer que el chat pueda ser usado por todos los asistentes, que se puedan mandar mensajes a todos y que se puedan mandar mensaje privados uno a uno.
  • PUEDES hacer que la reunión se grabe. Como anfitrión tienes la opción de que la reunión se grabe en tu ordenador o en la nube e incluso permitir que los asistentes graben la reunión.
  • UTILIZA las herramientas de moderación durante la reunión. Cuando la reunión ya ha comenzado tienes varias opciones para moderar la reunión, como silenciar los micrófonos, permitir grabar o compartir pantalla, apagar la cámara de un asistente, e incluso expulsarle de la reunión.

Al asistir a una reunión

  • Regístrate en la aplicación. Si la vas a usar en más de una ocasión, al estar registrado te permite configurar ciertos aspectos como el nombre que aparece o tu foto para que los demás asistentes puedan saber enseguida quién eres.
  • No compartas con nadie el ID de reunión. Las reuniones se hacen para que sean privadas entre los asistentes de manera que no compartas los datos de acceso en lugares públicos ni con personas que no tienen que estar en la reunión.
  • Se respetuoso y sigue las normas. Ya sea que la reunión sea familiar o de trabajo, sigue el protocolo que se establezca y haz que la reunión sea agradable para todos.

Conclusiones

En definitiva, tal y como explica Enrique Dans en su artículo, por ahora como empresa están respondiendo bien al crecimiento brutal que están teniendo y los problemas que están encontrando. Si siguen así les puede ir muy bien y si no, afortunadamente hay alternativas suficientes.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.