Tecnologia
Typography
  • Smaller Small Medium Big Bigger
  • Default Helvetica Segoe Georgia Times

Varios incidentes de ciberseguridad en la plataforma de videollamadas Zoom, registrados en las últimas semanas de marzo y algunos otros en abril, devinieron en el ingreso de personas no invitadas a una sesión causando lo que ahora se conoce como “zoomboming”, filtración de pornografía en medio de una llamada y recolección de datos personales por medio de terceros sin consentimiento del usuario.

Tras dichos incidentes diversos países, como India, y empresas como Tesla decidieron prohibir su uso para hacer conferencias en video, aún cuando en medio de la actual contingencia sanitaria el uso de videollamadas ha crecido y Zoom se había alzado como el favorito incrementando sus usuarios de 10 millones en diciembre a 300 millones en abril.

Los ciberataques a la firma urgieron al CEO, Eric Yuan, a lanzar un plan para reinventarse a 90 días pero pese al plan la sospecha sobre si la plataforma representa aún un riesgo para los datos de sus usuarios queda latente, y a preguntas directas, la empresa no consigue responder si los recientes incidentes le han impactado o no en términos de negocio.

“Estamos tomando la seguridad y la privacidad de nuestros usuarios como algo súper serio, la oportunidad de Zoom y la manera de dar soporte a los usuarios es clave. Una gran cantidad de compañías, de servicios financieros, proveedores de telecomunicaciones y gobiernos han hecho un proceso exhaustivo de nuestras plataformas y centros de datos y continúan usándolo en sus necesidades de comunicación”, dijo en entrevista David Díaz, Líder de Ventas Internacionales de Zoom.

Pese a que Zoom asegura que sus clientes siguen usando la herramienta confiando en su seguridad la lista de quienes han preferido no usarla por éstas preocupaciones crece: el Senado estadounidense, la NASA, el gobierno de India, el departamento de educación de Estados Unidos, Google, Tesla, SpaceX, entre otras.

Si bien Zoom logró incrementar sus usuarios en millones desde que inició la cuarentena por el COVID-19, y a la fecha no ha habido un estimado sobre si estos ciberataques pueden detener eventualmente el rápido crecimiento que la firma tuvo en semanas recientes, las dudas sobre sí Zoom es segura o no ha movido el precio de sus acciones drásticamente en las últimas semanas.

El seis de abril, en medio de preocupaciones por los ciberataques, sus acciones cayeron 10%, y aunque en los últimos cinco días el precio de sus títulos creció 4.31%, solo en martes 28 de abril cerró con una caída de 4.79%.

Analistas como Arvind Narayanan, profesor de informática de la Universidad de Princeton definió a la plataforma como una amenaza cibernética ante el diario inglés The Guardian.

“Zoom es malware”, dijo al diario en una nota publicada el 2 de abril.

Reforzarse en 90 días

Tras los diversos incidentes de seguridad, el CEO de Zoom, Eric Yuan, dio a conocer un plan para fortalecer la seguridad de la plataforma el pasado primero de abril, y el ocho de ese mismo mes anunció dos medidas como parte de dicho plan: la designación de un director de informática o CISO y un Consejo Asesor de ciberseguridad que incluye a Alex Stamos, exdirector de seguridad de Facebook, comentó Díaz a Expansión.

Además de esto, Zoom dio a conocer su versión Zoom 5.0, la cual advierte podrá “identificar, abordar y mejorar de forma proactiva las capacidades de seguridad y privacidad de su plataforma. Mediante la adición de soporte para el cifrado AES de 256 bits GCM, Zoom proporcionará una mayor protección para los datos de reunión y resistencia contra la manipulación”, citó la empresa en un comunicado.

Vulnerabilidades conocidas

Algunos de los incidentes de ciberseguridad que se han documentado en Zoom en meses recientes incluso son previos a su uso en gran volúmen por la pandemia.

En julio de 2019 el investigador de informática Jonathan Leitschuh encontró un navegador oculto que permitía añadir invitados sin permiso a una videollamada; la firma se ciberseguridad Checkpoint comunicó que en la primera semana de abril se registraron 425 nuevos dominios de sesiones de Zoom, de los cuales 70% eran falsos y diseñados para robar datos por medio de terceros.

Aunado a esto, la firma de ciberseguridad Eset comunicó también que detectó dos exploits (herramientas que permiten explotar vulnerabilidades no conocidas de un sistema) para la plataforma de Zoom en Windows y en Mac iOS.

“Estos exploits son de gran valor, ya que permiten a un atacante comprometer el dispositivo apuntado sin necesidad de recurrir a correos de phishing en los que se necesita que la víctima cometa un error y descargue un archivo o haga clic en un enlace”, citó ESET en un comunicado.

Según la firma, el exploit para Windows se ofrece por 500 dólares en la dark web.

Sobre estos incidentes Zoom solo se ha referido a uno en el que si ingresabas a la plataforma con una contraseña de Facebook, el kit de desarrollo de software (SDK) que se usa para crear apps, podía recolectar datos personales de los usuarios sin ellos saberlo.

“El 25 de marzo de 2020, la compañía se enteró de que el SDK de Facebook estaba recopilando información de dispositivos que no eran necesarios para proporcionar los servicios. Los datos recopilados por el SDK de Facebook no incluían información y actividades relacionadas con la reunión, como asistentes, nombres, notas sino detalles sobre los dispositivos, como el tipo y la versión del sistema operativo, la zona horaria, el modelo, el operador, el tamaño de la pantalla, los núcleos del procesador y el espacio en disco”, dijo Zoom en un comunicado enviado a Expansión.

“Zoom eliminó el SDK de Facebook del cliente de iOS el 27 de marzo de 2020 y

reconfiguró la función para que los usuarios puedan iniciar sesión con Facebook en el navegador. Zoom se disculpa por cualquier inconveniente que esto pueda haber causado”, aclaró.

Hasta ahora la versión 5.0 de Zoom asegura haber ya subsanado estas fallas y continúan dando webinars y recomendaciones a los usuarios para usar mejor la app, por si aún existen dudas sobre la privacidad y el manejo de los datos en la plataforma. El plan de 90 días anunciados por la empresa vence el próximo 28 de julio de 2020.

Fuente: expansion.mx / Por: Gabriela Chávez

Publicado por: TuDecides.com.mx
Edición: Adrián Soltero
Contacto: dir@tudecides.com.mx

Nota: Por lo general todos los artículos cuentan con fuente y autor del mismo. Si por alguna razón no se encuentra, lo hemos omitido por error o fue escrito por la redacción de TuDecides.com.mx.

 

Suscríbase para recibir novedades, regalos y artículos

Su email jamás será compartido con nadie. Odiamos el spam.

Te puede interesar...

Save
Cookies user preferences
We use cookies to ensure you to get the best experience on our website. If you decline the use of cookies, this website may not function as expected.
Accept all
Decline all
Marketing
Set of techniques which have for object the commercial strategy and in particular the market study.
DoubleClick/Google Marketing
Accept
Decline
$family
Accept
Decline
$constructor
Accept
Decline
each
Accept
Decline
clone
Accept
Decline
clean
Accept
Decline
invoke
Accept
Decline
associate
Accept
Decline
link
Accept
Decline
contains
Accept
Decline
append
Accept
Decline
getLast
Accept
Decline
getRandom
Accept
Decline
include
Accept
Decline
combine
Accept
Decline
erase
Accept
Decline
empty
Accept
Decline
flatten
Accept
Decline
pick
Accept
Decline
hexToRgb
Accept
Decline
rgbToHex
Accept
Decline
min
Accept
Decline
max
Accept
Decline
average
Accept
Decline
sum
Accept
Decline
unique
Accept
Decline
shuffle
Accept
Decline
rgbToHsb
Accept
Decline
hsbToRgb
Accept
Decline
Básicas
Accept
Decline
Analytics
Tools used to analyze the data to measure the effectiveness of a website and to understand how it works.
Google Analytics
Accept
Decline
Analíticas
Accept
Decline
Functional
Tools used to give you more features when navigating on the website, this can include social sharing.
AddThis
Accept
Decline
$family
$hidden
Accept
Decline
overloadSetter
Accept
Decline
overloadGetter
Accept
Decline
extend
Accept
Decline
implement
Accept
Decline
hide
Accept
Decline
protect
Accept
Decline
attempt
Accept
Decline
pass
Accept
Decline
delay
Accept
Decline
periodical
Accept
Decline
$constructor
alias
Accept
Decline
mirror
Accept
Decline
pop
Accept
Decline
push
Accept
Decline
reverse
Accept
Decline
shift
Accept
Decline
sort
Accept
Decline
splice
Accept
Decline
unshift
Accept
Decline
concat
Accept
Decline
join
Accept
Decline
slice
Accept
Decline
indexOf
Accept
Decline
lastIndexOf
Accept
Decline
filter
Accept
Decline
forEach
Accept
Decline
every
Accept
Decline
map
Accept
Decline
some
Accept
Decline
reduce
Accept
Decline
reduceRight
Accept
Decline
forEachMethod
Accept
Decline
each
clone
clean
invoke
associate
link
contains
append
getLast
getRandom
include
combine
erase
empty
flatten
pick
hexToRgb
rgbToHex
min
max
average
sum
unique
shuffle
rgbToHsb
hsbToRgb