¿Qué está pasando con Zoom?

Zoom
  • Desarrollo: Zoom Vídeo Communications.
  • Funciones: Vídeoconferencias y Chat.
  • Licencia: Privativo (no está publico su código fuente).
  • Cifrado en tránsito: Sí (AES 256 según su web).
  • Política de privacidad: El primer inciso de su política de privacidad dice textualmente “No vendemos tus datos” y lo repiten durante todo el documento (dicen eso pero hubo varias filtraciones sobre la venta de datos de usuarios. Además fue modificada durante el aislamiento). Puedes encontrar el documento completo aquí.
  • Plataformas: Windows, GNU/Linux, MacOS, Android, IOS.

Zoom es un servicio que en los últimos años se ha colocado como uno de los principales servicios de video llamadas y en esta época de aislamiento social está siendo utilizado por una cantidad considerable de personas ya sea para trabajo, consultas médicas, clases, talleres, etc.

Últimamente esta plataforma también ha sido objeto de muchas notas críticas acerca de su seguridad y venta de datos de las personas usuarias a compañías como Facebook. Aquí presentamos qué pasa (ELPH -en lenguaje para humanos/as), intentando explicar los puntos clave de las circunstancias.

 

Captura y venta de información de las personas usuarias

Aunque en su web oficial Zoom dice no vender a «nadie» los datos de las personas usuarias, dicho datos fueron vendidos a la compañía Facebook, incluso si el usuario no estaba registrado en esta última plataforma o solo tiene un enlace de invitación a una reunión. La información que recolecta es la siguiente:

  • Nombre
  • Domicilio físico (sí, saben donde vives)
  • Dirección de correo electrónico (con esto también pueden saber en qué otras plataformas estás registrado con el mismo correo)
  • Teléfono
  • Empleador y cargo del empleado
  • Perfil de Facebook
  • Dirección IP (que es la dirección desde donde nos conectamos a internet y está asociada con la dirección física desde donde lo hacemos)
  • Dirección MAC del dispositivo que estés usando (que es como la huella digital de una persona: única)
  • Tipo de dispositivo
  • Versión del sistema operativo

Zoom también vende los nombres de todas las personas participantes de las reuniones, los documentos compartidos y las pizarras que se utilizan durante las mismas. Además, si se utiliza en un ámbito laboral la plataforma puede reportar al empleador si el empleado está prestando atención a la reunión.

Si esto no te parece suficiente intrusión a tu privacidad los administradores de las salas pueden unirse a llamadas sin consentimiento o notificación a las personas participantes (alguien puede escuchar sin que lo notes).

La compañía ESET y el FBI han descubierto que en algunos casos las llamadas no son cifradas y, dependiendo de la regulación de internet de cada país, el gobierno puede estar al tanto de lo que sucede en ellas.

Si utilizas Window$, Zoom te vuelve vulnerable ya que se ha descubierto que puede dar acceso a otras personas a los recursos compartidos de tu computadora, como los discos duros, impresoras, redes, etc.

 

Otros aspectos a destacar

El ministerio de defensa del Reino Unido ha prohibido el uso de Zoom. También ha sido vetado por SpaceX (la empresa norteamericana de transporte aeroespacial fundada por Elon Musk), la NASA, el gobierno de Taiwán, el de India, el condado de Clark y el departamento de educación Nueva York. Incluso el propio Google (que no tiene nada que envidiarle en cuestión de vigilancia hacia sus personas usuarias), entre otras empresas.

 

Zoom 5.0 cambia, pero no por gusto

La semana pasada Zoom lanzó una importante actualización de su servicio, presionado por grupos y periodistas que cuestionan temas relacionados con la privacidad de las personas. Zoom cambia pero no por gusto, y se le nota. En su web mencionan que crearon un área enfocada en la seguridad, pues sorprendentemente no tenían una. Anuncian la incorporación de Alex Stamos, quien fuera jefe de seguridad en Facebook y es asesor de la OTAN. Por los antecedentes conocidos sobre ambos grupos nos hacen dudar si representará una incorporaron que elija trabajar por la privacidad de las personas. Además si quieres más información sobre su reciente aviso de protección de datos, tienes que ser usuario premium, de lo contrario no te contestarán.

¿Qué es lo que cambia? Bajo la premisa de que “sus usuarios reportaron fallos” empezarán a corregir los problemas iniciando con puntos estratégicos:

  • Cifrado GCM AES de 256 bits, que es un cifrado seguro (aunque no explica si conservarán una copia de la llave en sus servidores).
  • Un botón con funciones de “seguridad”, como bloquear usuarios, salas de espera y nada nuevo en el mundo de la seguridad en las plataformas de las vídeoconferencias.

¿Es todo? Sí, al menos es todo lo que comunican. Y nos dejan en un limbo donde proponen un botón y un informático de Facebook y la OTAN como solución mientras nos invitan a participar en sus “Seminarios de los miércoles” donde hablarán de seguridad y privacidad que serán transmitidos por Youtube (y no por Zoom).

Desde nuestro punto de vista, el que adopten medidas de seguridad que otras plataformas de videoconferencias ya asumen como estándar y las celebren con sobre dimensión nos mantiene pensando sobre cómo se implementará en concreto su «nueva política de privacidad».

 

¿Qué recomendamos?

Meet Jitsi
  • Desarrollo: Emil Ivov.
  • Funciones: Vídeoconferencias y Chat.
  • Licencia: Software Libre.
  • Cifrado en tránsito: Sí (SRTP y ZRTP, según su web).
  • Política de privacidad: En cada instancia de Jitsi puede variar la política de privacidad, así que si usas alguno de la lista, te recomendamos visitar la página de la organización o proyecto para que des un vistazo de su política. Acá las de la matriz. Es más, ¡en estos días te compartiremos una entrada con más detalles!
  • Plataformas: Windows, GNU/Linux, MacOS, Android, IOS.

Todo esto significa que, a diferencia de Zoom, podemos instalarnos un servidor de Jitsi en nuestras propias casas o trabajos sin avisarles que lo haremos y así asignarle las opciones de privacidad y seguridad que más nos convenga. Si no sabemos cómo hacerlo siempre podemos optar por elegir un servidor Jitsi de confianza, existen organizaciones que respetan nuestra privacidad y nos brindan el servicio de manera gratuita.

Aquí te dejamos una lista con algunos servidores de Jitsi para comenzar a explorarlo, aún así te recomendamos ampliamente que leas los términos de cada sitio y te asegures de estar consciente de qué hacen con los pocos datos que recolectan:

También te adjuntamos un vídeo tutorial para que veas cómo usar el servicio.

Y si quieres leer las notas desde donde obtuvimos esta información puedes revisar las siguientes fuentes en inglés y español:

@sursiendo

 

2 Comments

  • Carlos Eugenio

    6 mayo, 2020

    Yo no acabo de creer esta campaña contra Zoom. Ninguno de los que afirman eso presentan pruebas claras. Curiosamente son Microsoft y Google quienes más han promovido la campaña contra Zoom argumentando que «roban datos» y es «inseguro». Como dice un dicho: «es el burro hablando de orejas».
    Soy promotor de Software Libre y defiendo a Jitsi, pero hemos de reconocer que aún tiene grandes limitaciones. Funciona bien con solo audio, en ese caso mejor usar Mumble, o en video de dos personas pero más no logra aún. Y es ahí donde Zoom se destaca. El nivel de espionaje que puedan tener nada le pide a lo que espian Google o Microsoft, quienes casualmente defienden sus sistemas Hangout, Google Meet o ahora el «Teams» de Microsoft. Que casualidad!!
    Así que dejo sembrada mi duda hasta que las pruebas sean más claras y no solo especulaciones.
    La nota que citan en las Fuentes de Isabel Rubio en Retina.elpais.com: «¿Es Zoom una aplicación insegura? No más que otras», me parece más acertada y crítica.

    Reply
    • ...

      7 mayo, 2020

      Gracias Carlos! Hay documentación más allá de las corporaciones que mencionas que reportan el tema (si se les «cree» o no es otro tema). Zoom, como bien dices, no es más insegura que otras aplicaciones privativas muy utilizadas y responde al mismo modelo de negocios de extracción de datos personales que vulnera nuestra privacidad. Lo que quisimos fue «descoser» las intrusiones que esta aplicación es específico permite (justo «en lenguaje para humanes» porque ha habido de todo) y quizás, lo único lo diferente esté en el crecimiento geométrico que tuvo en el último tiempo aunado a lo poco que se había hablado sobre ella antes.

      Si tuviéramos más formación crítica respecto a las tecnologías que usamos, entradas como éstas no serían necesarias.

      Con razón mencionas las funcionalidades aún faltantes a herramientas de software libre propuestas para cubrir las necesidades de videollamadas existentes y aún así seguimos considerando más adecuado usar éstas y no las privativas. Por eso las seguimos eligiendo, usando y promoviendo con los grupos con los que trabajamos.

      Saludos!

      Reply

Deja una respuesta

17 − 6 =

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.