¿Es segura la aplicación Zoom?

Conciencia Virtual

Contenido proporcionado por Conciencia Virtual. Todo el contenido del podcast, incluidos episodios, gráficos y descripciones de podcast, lo carga y proporciona directamente Conciencia Virtual o su socio de plataforma de podcast. Si cree que alguien está utilizando su trabajo protegido por derechos de autor sin su permiso, puede seguir el proceso descrito aquí https://es.player.fm/legal.

4y ago 18:56

MP3•Episodio en casa

Series guardadas ("Feed inactivo" status)

When? This feed was archived on June 23, 2021 21:11 (3y ago). Last successful fetch was on August 11, 2020 17:36 (3+ y ago)

Why? Feed inactivo status. Nuestros servidores no pudieron recuperar un podcast válido durante un período sostenido.

What now? You might be able to find a more up-to-date version using the search function. This series will no longer be checked for updates. If you believe this to be in error, please check if the publisher's feed link below is valid and contact support to request the feed be restored or if you have any other concerns about this.

Rossibel:

Año 1994, un joven matemático de la provincia China de Shandong de

nombre Eric Yuan que hacía vida en Japón, tuvo la oportunidad de

escuchar una conferencia de Bill Gates. Esto lo inspiró a emigrar a

Silicón Valley en 1997.

Cuando finalmente pudo llegar a los Estados Unidos se unió rápidamente

como programador a una startup de videoconferencias llamada Webex,

está se convertiría en uno de los protagonistas del mercado, tanto así

que en 2007 sería adquirida por Cisco Systems por 3,2 Billones de $.

Yuan siguió trabajando en la compañía hasta llegar a Vicepresidente de

Ingeniería. Bajo su mando Webex alcanzó ventas anuales de 800M.

La aplicación comenzaría a tener muchos problemas, la conexión era

inestable, el audio y vídeo podían retrasarse. Yuan consciente de

estos problemas y con una visión de crear una aplicación útil también

para móviles y tabletas, presionó a sus superiores para implementar de

inmediato estos cambios.

Pero su proyecto fue rechazado. Yuan decide renunciar en 2011 y fundar

su propio negocio ¿Cómo lo llamo? ZOOM! Por suerte no estaba solo,

muchos de los ingenieros de Webex se fueron con él y además, tuvo la

confianza de varios inversionistas, lo que le permitió levantar 3M $.

Antes de irse, comentó que pasó mucho tiempo comunicándose con los

clientes de Webex y con todas las quejas, formó una dirección, las

resumió todas dedicándose a crear una app que las resolviera.

En dos años, para enero de 2013, lanza la primera versión siendo un

éxito inmediato, en dos meses ya contaba con 1 millón de usuarios

-Funcionaba en conexiones lentas -Videoconferencias en HD -Versión

para dispositivos móviles. Todo esto por un precio inferior a la

competencia.

Ya en abril de 2019 se convierten en una empresa pública, con una

valoración de 16 Billones $. Lo demás es historia, en tan solo 14

meses gracias al incremento en la demanda debido a la pandemia

alcanzan los 63 Billones $. Y desde inicio de año sus acciones se han

apreciado 205%.

Pero… ¿Realmente Zoom es una aplicación segura?

¿Estará Yuan realmente preparado para el desafío de otorgar seguridad

en las comunicaciones de más de 300 millones de usuarios activos?

¿Es la mejor aplicación en este momento para llamadas de conferencia?

Mi nombre es Rossibel García y en este episodio estaremos analizando

la trayectoria de esta aplicación y sus temas de Seguridad y

Privacidad… Te invito a que te quedes y resolvamos todas estas dudas.

Jean: Bienvenido una vez más a este Podcast Tecnológico llamado

Conciencia Virtual, mi nombre es Jean Carlos Gutierrez y estoy aquí

acompañado de Rossibel, quienes juntos estaremos analizando si es

seguro o no conectarse en la aplicación ZOOM. Hola Rossi, como estas?

Has hecho un trabajo Genial con ese resumen histórico de Eric Yuan.

Rossibel: aproveché estos días en cuarentena para investigar (Saludo a tu gusto y respuesta de la interacción) así que los invitamos a que se pongan cómodos para que disfruten de este nuevo episodio.

Jean que te parece si hablamos de la decisión oficial por

parte de Eric sobre aplicar cifrado end 2 end para todos los usuarios,

rectractandose de la idea que solo el cifrado seria para las cuentas

de pago.

Jean: ¿Supiste la razón por la que se retractaba?

Rossibel: Bueno Jean, desde el propio blog informaban que solo las

cuentas pago iban a recibir el cifrado, y que si

habían conversaciones privadas, podrían abrirlas en “caso de ser

necesario” si sospechaban que las cuentas estarían implicadas en

actividades delictivas.

Jean: Aquí volvemos con el tema Privacidad vs Seguridad, pero OJO no

estoy refiriéndome a la Seguridad de la aplicación porque ha estado

muy insegura últimamente, sino la excusa que ofrecen los Gobiernos del

mundo que quieren espiar a sus usuarios, diciendo que es por Seguridad

Nacional.

Para mi esto es solo un simple pretexto que tiene la empresa para

decirte: Si estas en desde la opción gratuito, te sacaré el dinero con

tus datos personales. Porque para que ibas a descartar a tus usuarios

de cuentas gratuitas al cifrado si en menos de un mes decías

públicamente que ibas a implementar Oracle Cloud Infrastructure para

respaldar el crecimiento y satisfacer la necesidades de los usuarios.

Los usuarios claramente te están pidiendo mejor privacidad y tú

seguías sin querer otorgárselas.

Rossibel: Jean, tengo entendido que esa función es para mejorar la

demanda. Es decir la capacidad de usuarios ya superaba de manera

significativa para con los servidores que estaban usando desde ese

momento.

Jean: Eso es totalmente cierto, pero yo también tengo otra hipótesis con ello.

Eric viene jugando al CEO que le gusta complacer a Gobiernos,

Rossibel: (forma de interrupción) Jean, algo que debemos considerar al analizar esto, es que ha sido prohibido su uso desde El Ministerio de Defensa del Reino Unido, Servicio Nacional de Salud del mismo, Gobiernos como la India o

Taiwan, Ministerio de Defensa de Australia, el Ministerio de Asuntos Exteriores de

Alemania, escuelas de Singapur, sin contar empresas estadounidenses

como SpaceX, Tesla, Bank of America, empresas Europeas como Siemens

AG, Ericsson, Daimler AG, Standard Chartered, NXP Semiconductor NV y

la filipina Smart Communications.

Jean: Todo eso es cierto. Y todo era porque de sus 73 Servidores de

conexión 5 de ellos estaban ubicados en China y no solo tenían la

posibilidad de compartir a ti como usuario las claves que necesitabas

para entrar en una llamada de ZOOM con X persona, sino que también

existía posibilidad que en esos servidores también pasara trafico de

esa llamada y para nadie es un secreto que China en ocasiones les

exige a las empresas las llave de cifrado y si tu les das ese

contenido entonces ellos podrían saber lo que estaba pasando en esa

conversación.

Cuando estas empresas y países se enteran de esto, claro que deciden

prohibirlo. Cualquiera en su sano juicio habría pensando en lo mismo.

Pero hace ratico te decía que Eric juega a complacer Gobiernos, si tu

como usuarios decides no usar la app porque tienes claro que algunas

de sus llamadas pasan por servidores Chinos y luego como dueño de la

empresa te anuncio que me estoy uniendo a Oracle, es para justo

decirte, vente de nuevo, estoy de moda, ya estoy cumpliendo con tus

requisitos de usuario.

Dejándote dicho que también han realizado censuras desde la propia app

indicando que estaban cumpliendo con las leyes locales de China.

Para mi este CEO va procurar complacer a todos los que puedan, siempre

y cuando para mantenerse en el mercado del país y segundo para estar

activo en todos los países posibles.

Rossibel: ¿Entonces bajo tu opinión el que se haya aplicado el cifrado

es solo para complacer a la audiencia y seguir creando la confianza,

en vez de mejorar en la Seguridad de la aplicación para que sea lo menos

atacada posible?.

Jean: Rossi, cuando esta aplicación fue utilizada desde el

confinamiento, esta aplicación se conectaba con las Api Grafica de

Facebook. Entonces ZOOM recolectaba de ti (usando o no la aplicación)

datos como: usuario, nombre completo, dirección física, correo

electrónico, numero telefónico y todo tipo de datos que pudiera

identificarte, sin contar información de tu trabajo, tarjetas de

crédito y débito, información de tus cuentas de Facebook, tanto la

personal como Fanpage y demás servicios que utilizaras de esa empresa.

Como te estabas conectado, IP, Mac Address, Sistema Operativo, la

versión.

Todo esto era enviado a Facebook y a su vez esta empresa los usaba

para cruzar la data y al administrador de la llamada podía indicarle

donde estabas, si estabas prestando o no atención a la reunión porque

indicaba si la ventana esta activa o no, es más podías entrar a la

sala de modo Anónimo y el Admin podía claramente saber que eras tu.

Todo esto lo expuso en su momento Will Strafach un Investigador de IOS

y cuando soltó la Bomba, lo que hizo ZOOM fue decir: Nosotros

estábamos usando la SDK de Facebook y no teníamos idea de la

información innecesaria que estaba recopilando de nuestros usuarios,

esas herramientas solo la usábamos para facilitar al usuario el

ingreso a nuestra plataforma. Actualmente eliminando todo eso para que

luego tu actualizando la aplicación ya no tengas ese problema. Pedimos

disculpas y estamos comprometidos en la Seguridad de nuestros

usuarios.

Rossibel: Si, recuerdo ese hecho, es más en esos mismos tiempos,

veíamos en las noticias, como podías secuestrar una sala en

particular, a modo administrador y enviar material pornográfico a

todos los integrantes de esa reunión.

Claro ese no seria el único problema de Seguridad que tendría.

Patrick Wardle, un ex-hacker de la NSA descubrió que un atacante local

con privilegios de usuario de bajo nivel puede inyectar al instalador

de Zoom código malicioso para obtener el nivel más alto de privilegios

de usuario ("root")

Jean: Esos privilegios significan que el atacante puede acceder al

sistema operativo macOS subyacente, que generalmente está prohibido

para la mayoría de los usuarios, lo que facilita la ejecución de

malware o spyware sin que el usuario lo note.

Rossibel: ahora, ¿qué otras fallas y vulnerabilidades has podido notar en esta aplicación?

Jena: El segundo error explotaba una falla en cómo Zoom manejaba

la cámara web y el micrófono en Macs. Wardle dijo que un atacante

podía inyectar código malicioso en Zoom para engañarlo y darle al

atacante el mismo acceso a la cámara web y al micrófono que Zoom ya

tiene. Una vez que se carga el código malicioso, "heredará

automáticamente" alguno o todos los derechos de acceso de Zoom.

También las vulnerabilidades recientemente parcheadas

En una que aprovechaba la forma como se utilizaba el servicio GIPHY

(buscador de gifs) donde no se confirmaba si el archivo a compartir

provenía de ese servicio y a su vez tampoco verificaba el nombre del

archivo entonces el atacante podría hacerte llegar un gif infectado de

un servidor tercero y hasta almacenarlo en tu carpeta de inicio.

Y la otra vulnerabilidad era aprovecha la forma como enviaba ZOOM

fragmentos de códigos, permitiendo al atacante plantar binarios

arbitrarios en computadoras especificas, logrando la ejecución de

código remota.

Jean: Ahora, Rossi, si un usuario necesita usar la aplicación de Zoom luego de todo lo que te he comentado

¿Que recomendaciones le darías para estar seguro en la

aplicación?

Rossibel: Eso es algo que deberías de decir tú! Pero yo también las

conozco. Tú me vas diciendo si voy bien o no!

1. ¡Agregar una contraseña a todas las reuniones!

2. Usar salas de espera

3. Nunca compartir el ID de reunión por medios públicos

4. Desactivar el uso compartido de la pantalla del participante

5. Bloquear reuniones cuando todos se hayan unido

6. Mantener Zoom actualizado

7. Usar la autenticación multifactor (MFA)

Pero ajá Jean, no has dicho si es preferible usar ZOOM o no?

Jean: En realidad es una decisión final del usuario. Yo te podría

decir ahora mismo que la historia que hemos comentado se parece

MUCHÍSIMO a la historia de Whatsapp y no necesariamente el usuario

tomaría la decisión de irse a otra plataforma. Y eso es por la

cantidad de usuarios activos que hay en la plataforma.

Si fuera así entonces ahora mismo Signal seria la aplicación de

mensajería más usada por ser públicamente más segura. Algo que intenta

ahora mismo mostrar ZOOM al liberarte en la plataforma de Github el

código con el que esta cifrando su aplicación

Rossibel: Pero Jean y liberando su código ¿No hace que la app sea más

insegura? Ya que otros usuarios pueden ver como funciona y con ello

atacar.

Jean: El que otros usuarios puedan usar ese código para tratar de crear

nuevas maneras de atacar, también te puedo decir que la comunidad

puede ayudar a mejorar ese código, creando confianza en

desarrolladores y comunidad que a su vez ayuda mucho a los usuarios

finales.

Rossibel: Claro, Claro! Pero si con todo lo que hemos comentado hoy,

sabiendo que ZOOM sigue haciendo cambios en pro para liberarse de

vulnerabilidades y hasta de prohibiciones en diferentes países, ¿qué

aplicación podrías recomendar distinta a ZOOM para hacer videollamadas

grupales?.

Jean: Que yo pueda decirte, esta es la más segura en realidad no lo

puedo hacer, porque hoy te puedo recomendar una y mañana sale una

vulnerabilidad que la afecta. Hay muchas aplicaciones, Skype,

Microsoft Teams, Cisco Webex, Facetime, Google Meet, Google Duo, menos

conocidas como: BlueJeans, Zoho, Lifesize, Intermedia AnyMeeting,

GoToMeeting, RingCentral Meetings, entre otras y solo tu decides cual

cumple tus expectativas de Seguridad.

Rossibel: Estoy seguro que todas estas recomendaciones serán de gran utilidad para muchos, ha sido un episodio más que completo.

En el siguiente aprenderemos a como mejorar nuestras contraseñas ya que ha

sido una de las recomendaciones hechas.

Jean: Pueden encontrarnos en redes sociales como:

Rossibel: www.facebook.com/concienciavirtual

Jean: En instagram como @concienciavirtual

Rossibel: y en Twitter como @concienciavirt

Jean: Para contenidos similares como este puedes irte a la Liga.Fm en

donde encontrarás podcast amigos.

Rossibel: de este lado nos despedimos. Quienes te acompañamos en este viaje para geeks y no tan geeks, Jean Carlos Gutierrez y Rossibel García. Seguiremos compartiendo mas conciencia virtual.

Jean: y no me queda más nada que decir que: Un Saludo y un Abrazo Virtual.

29 episodios

#Tecnología #Conciencia #Seguridad #Actualización #Español #Virtual #Informática #Vulnerabilidades #Conciencia Virtual #Tecnológicas

¿Es segura la aplicación Zoom?

Conciencia Virtual

published 4y ago