¿Es Zoom seguro? Cómo usarlo correctamente

Durante las últimas semanas, Zoom ha pasado de ser una aplicación que solo los que trabajamos en remoto conocían, a ser una herramienta utilizada por medio mundo para conectar con el otro medio, todos desde nuestras casas pasando lo mejor posible esta situación.

¿Qué es ZOOM?

Zoom es una aplicación de video conferencia que permite conectar a varias personas de forma simultánea, creando salas a las que los participantes entran con una invitación, en forma de enlace o usando el código de la sala.

Para conectarnos a una sala de Zoom podemos usar una aplicación móvil, una aplicación para ordenador (tanto mac como windows) o si eres insistente incluso conectar usando simplemente el navegador.

Esto es importante para entender todo lo que voy a comentar a continuación.

¿Pero puedo seguir usando Zoom?

Si tienes prisa y no quieres leer más, esta es la respuesta corta:

Actualiza a su última versión, ten cuidado y sigue las normas de seguridad básicas al usarlo y no hay problema con ello. En realidad, entendiendo los problemas de seguridad que ha tenido, no es más peligroso usar Zoom ahora que otras alternativas comerciales.

A fecha de hoy, todas las vulnerabilidades detectadas han sido corregidas en su última versión.

En resumen, si te sirve para conectar con tus abuelos o padres no dejes de hablar con ellos y verles por esto. Deberías en cualquier caso seguir leyendo para entender por qué decimos esto.

Vulnerabilidades de Zoom

Zoom se ha ganado su mala prensa a pulso, principalmente por su política durante años de no priorizar la seguridad y la privacidad en su planteamiento de desarrollo.  Le unes esto a que está siendo la herramienta más utilizada en estos días en los que no es posible salir de casa y ya tienes los rumores y los problemas.

El año pasado, allá por marzo tuvieron un problema de seguridad importante, creo que tan grave como los comentados ahora, o incluso más, pero no eran tan famosos y no tuvo tanta repercusión. Lo arreglaron también, pero con menos rapidez (tardaron meses!!!) y muchos pusimos a Zoom en esa lista de «usar sólo cuando no haya alternativa».

En los últimos meses, con la explosión de la vida online y por tanto el uso de Zoom, han surgido nuevas vulnerabilidades, junto con el rumor online de que usar Zoom no es seguro. Esto ha causado que muchas empresas (algunas muy conocidas como SpaceX) han prohibido a sus empleados usarlo, y también nos ha hecho escribir este artículo para aclarar algunas cosas. Este es el listado de las vulnerabilidades detectadas y más comentadas online en las últimas semanas:

Zoom boombers

Por defecto, Zoom no ponía contraseña en las nuevas salas creadas. Además, los códigos de las salas son numéricos, de este tipo: «0123456789». Esto hace fácil poner un algoritmo o simplemente tratar de conectar con una sala al azar. Sólo hay que poner los números y probar si está abierta. La razón para hacer las salas numéricas es porque es fácil de dictar por teléfono, lo cual se complica si añades letras. Aunque el problema de seguridad es simplemente una falta de configuración del usuario, Zoom debería haber puesto por defecto las contraseñas en las salas, como ha hecho en su última actualización. Por tanto esto ya no funciona igual.

Enlaces maliciosos UNC en el chat

Esto si era un agujero de seguridad importante. Era posible crear un enlace dentro del chat de Zoom que al ser pulsado por otro usuario, permitía al «hacker» acceder a las credenciales de acceso del usuario. Unes esto con el ZoomBombing anterior y tienes a miles de spammers y hackers entrando en salas random y atacando a sus usuarios. Esto ha sido ya corregido en la última actualización. Más información en este tweet del que lo descubrió y aquí una demostración de cómo funciona.

Entregar a Facebook datos personales

Esta «vulnerabilidad» afectaba a la aplicación de iOS. Realmente esto es algo que sucede a muchas aplicaciones que usan la API de Facebook para permitir hacer login más fácilmente. Es mucho más común de lo que la gente se cree y realmente no es tan grave. Pero obviamente la gente no lo espera y si eres una empresa que tiene en cuenta la privacidad intentas no usarlo en tus aplicaciones. Lo han eliminado también. Más información.

La respuesta de Zoom

El año pasado la respuesta de Zoom fue decente pero no excesivamente rápida, puesto que no estaba en el punto de mira de tanta gente como ahora. Este año, su respuesta ha sido excelente desde un punto de vista de cómo gestionar una crisis. El CEO ha dado la cara con multiples anuncios tanto en su blog como en redes sociales, y parece que van a cambiar la política de desarrollo dando una mayor prioridad a la privacidad y seguridad, considerando la responsabilidad que tienen.

Aunque está claro que mucha gente va a desconfiar de ellos en el futuro, más vale tarde que nunca y me parece que esta vez si han debido de aprender la lección. El tiempo lo dirá.

Podéis leer los artículos en el blog de Zoom:

Nuestros consejos para usar zoom de forma segura

Zoom ha mejorado la seguridad de su software, pero siendo una herramienta online, es importante entender bien las opciones que disponemos y qué podemos hacer nosotros para usar Zoom de forma más segura. Muchos de estos consejos puedes aplicarlos a cualquier otra herramienta de chat o conversación online.

Para todos:

  • Actualiza a la versión del 4 de abril como mínimo, pero es recomendable usar la última versión disponible siempre. No hay razón para no hacerlo.
  • No hagas click en un enlace del chat de zoom. Es mejor dictarlo, copiarlo a mano o recibirlo por otra fuente más segura. La gente usa enlaces que engañan, no te fies de lo que lees en el enlace.
  • Considera que te están grabando todo el rato (aunque no lo estén), y actúa en consecuencia. Incluso si no lo ves, cualquiera en el mismo meeting podría estar grabando su pantalla o tomando fotos en cualquier momento.
  • Desconfía. Aunque estés en una sala privada con amigos, puede que se cuele alguien, suelte un enlace en el chat y se desconecte. Estando online hay que estar más alerta de lo normal.
  • Cuando no tengas que decir nada, silencia tu micrófono. Esto previene que se filtre audio no deseado de tu casa, y además elimina ruidos e interferencias a la persona que habla.
  • Lo mismo con el vídeo. Si no necesitan verte, es mejor apagar tu vídeo temporalmente. Esto también evita que se vean imágenes o personas por error.
  • Intenta minimizar la información que transmites de tu entorno, tu casa o tu familia. Esto sobre todo si es un evento público, una clase o similar. No sabes quién es la persona que está viéndolo.
  • Considera las reuniones/eventos online como si fueran reuniones/eventos en persona. Si tienes que hacer algo o ir al baño, apaga el vídeo, silencia el micrófono y deja el teléfono/tablet/ordernador donde está. No le dirías a nadie en una reunión en persona que te acompañe a la cocina o al baño o a poner una lavadora mientras hablas con ellos, ¿verdad? Actúa igual que si estuvieras en persona con ellos.

Para los «host» y los que organizan los eventos

  • Asegúrate de que entiendes y configuras las opciones de Zoom correctamente. La mayoría de los problemas actuales, que no pueden ser resueltos por el software es un problema de configuración de los usuarios. Tienes una responsabilidad al gestionar tu el evento.
  • Pon contraseña a todas tus salas. Por defecto ya lo tienen pero es mejor confirmarlo.
  • Limita el uso de compartir pantalla solo a hosts. Esto no viene activado por defecto y es muy recomendable.
  • Activa las salas de espera. Esto te permite aceptar manualmente a cada asistente.
  • Hay una opción para que cuando alguien es expulsado no pueda volver a entrar a la misma sala. Asegúrate que está activada.
  • Expulsa a quien sea necesario. Que no te tiemble el pulso en expulsar rápidamente a cualquier que se esté saltando las normas básicas.
  • Silencia cuando lo consideres. A veces es importante silenciar a alguien puesto que su conexión está estropeando la experiencia del resto del grupo. A veces es simplemente porque no se ha dado cuenta, o porque su sonido se acopla y no es consciente. Lo ideal es silenciarle, explicarles como arreglarlo y cuando esté solucionado la persona podrá unirse a la conversación.
  • Comparte los enlaces a Zoom con cuidado. Son las llaves de tu casa/evento. Cualquiera con un enlace podría entrar en tu conversación. Intenta no publicarlos online y usar canales seguros.
  • Bloquea la sala. Una vez que todo el mundo está dentro, existe una opción para bloquear la sala completamente. Cuidado que una vez cerrada, si alguien se desconecta (por fallo en su conexión) no podrá volver a entrar.
  • Consigue un moderador. Si das clases u organizas eventos con muchas personas, es recomendable tener a una persona encargada de moderar la sala por ti, mientras tu te centras en el evento o la clase. Esa persona estará observando los participantes y el chat y expulsará o silenciará a quien sea necesario. También puede ayudar a los participantes a conectarse y a configurar bien su sonido.
  • Permite que tus asistentes no muestren su vídeo. Esto sobre todo aplica a clases online o eventos en los que los asistentes no tienen que interactuar o sólo lo hacen mediante el chat. Por supuesto que el vídeo aporta cercanía, pero debemos respetar a aquellos que no están cómodos con ello y dejarles participar también.

Para asistentes

  • Ten cuidado de no compartir información personal. Y esto puede ser hablando, en forma de imágenes o incluso sacando en vídeo ese postit con las contraseñas que tienes en la pared o una carta con tu dirección postal.
  • Esto lo puse en la opción de todos, pero lo repito de nuevo aquí. Apaga tu vídeo y tu audio siempre que no sea imprescindible usarlo. Si tienes que atender a una clase o a un webminario, no necesitas que nadie te vea o te oiga así que puedes decidir no mostrar tu cara. No hay nada de malo en ello aunque entiendo que hay una presión social.
  • Intenta saber algo más sobre la persona organizando el evento antes de entrar. Lo mismo que harías en un evento «offline», es importante saber qué estás haciendo ahí. Si ves algo que no te gusta, no estás confortable o algo te incomoda, recuerda que puedes abandonar en cualquier momento.
  • No uses Zoom para mandar mensajes privados a otro asistente. La persona que organiza la llamada puede leerlos. Considera que todo lo que pasa en Zoom no es privado o secreto.
  • Revisa dos veces que tienes la sala correcta. Con las nuevas medidas esto es más difícil que pase, puesto que todas las salas tienen contraseña por defecto, pero en cualquier caso es mejor estar seguros.

Como veis es todo sentido común pero espero que os ayude a usar mejor esta u otra herramienta de video llamada de forma segura.

Alternativas

Si todo esto no te convence, aquí os dejamos una lista de alternativas, y estamos preparando otro artículo con las ventajas en inconvenientes de todas ellas, para que puedas elegir la mejor para cada situación.

  • Whereby. Antigua Appear.in. Funciona principalmente desde un navegador y es una buena alternativa para reuniones de hasta 4-12 personas.
  • Houseparty. Comprada por Riot (la gente del famoso juego League of Legends) y con rumores de fallos de seguridad pero ninguno demostrado hasta la fecha.
  • Jitsi. La única solución 100% open source. Aquí tienes un listado de proveedores alternativos que usan la versión open source.
  • Meet de Google. El antiguo hangout para cuentas en GSuite.
  • Streamyard: pensada para dar charlas, webminarios y eventos online, con pocos presentando e ilimitados asistiendo.
  • Slack. En su versión de pago permite hacer video conferencia entre usuarios.
  • Microsoft teams. La respuesta a Slack de Microsoft.
  • Discord, similar a Slack y enfocado al gaming. Permite hacer reuniones con vídeo hasta 10  con vídeo y canales ilimitados con audio.
  • Screen. Nueva aplicación creada por la persona que monto el servicio de video llamada en Slack.
  • Cisco WebEx, empresarial, y enfocado principalmente a video llamada con encriptación.
  • Skype, conocido por todos y que ha lanzado una opción via Web hace no tanto.

Conclusión

En WPHercules nosotros usamos Whereby para reuniones de trabajo, junto con Discord y Slack para conversaciones y Meet de Google y Zoom para reuniones/eventos con más de 5-10 personas, dependiendo de la necesidad de cada momento y también de lo que nuestros clientes prefieren. Nunca hemos usado Zoom para reuniones con clientes desde el evento del año pasado así que no hemos cambiado esta política.

Hay que considerar que todas las aplicaciones tienen sus limitaciones y empresas con ánimo de lucro detrás. Algunas abusan de su posición más que otras y algunas consideran la privacidad y la seguridad más importante que otras.

En estos momentos y considerando cuanta gente está auditando y analizando Zoom, creemos que no es más insegura que otras, incluso es posible que sea al contrario.

Como siempre, analiza las opciones, entiende tus necesidades y elige la aplicación que mejor cumple con todo lo que tu necesitas.

Deja un comentario