¿Es segura la aplicación Zoom?

18:55
 
Compartir
 

Manage episode 265150474 series 2076524
Por Conciencia Virtual descubierto por Player FM y nuestra comunidad - los derechos de autor son propiedad de la editorial, no de Player FM, y el audio se transmite directamente desde sus servidores. Presiona el botón de suscripción para rastrear cambios en Player FM o pega el URL del feed en otras aplicaciones de podcast.
Rossibel: Año 1994, un joven matemático de la provincia China de Shandong de nombre Eric Yuan que hacía vida en Japón, tuvo la oportunidad de escuchar una conferencia de Bill Gates. Esto lo inspiró a emigrar a Silicón Valley en 1997. Cuando finalmente pudo llegar a los Estados Unidos se unió rápidamente como programador a una startup de videoconferencias llamada Webex, está se convertiría en uno de los protagonistas del mercado, tanto así que en 2007 sería adquirida por Cisco Systems por 3,2 Billones de $. Yuan siguió trabajando en la compañía hasta llegar a Vicepresidente de Ingeniería. Bajo su mando Webex alcanzó ventas anuales de 800M. La aplicación comenzaría a tener muchos problemas, la conexión era inestable, el audio y vídeo podían retrasarse. Yuan consciente de estos problemas y con una visión de crear una aplicación útil también para móviles y tabletas, presionó a sus superiores para implementar de inmediato estos cambios. Pero su proyecto fue rechazado. Yuan decide renunciar en 2011 y fundar su propio negocio ¿Cómo lo llamo? ZOOM! Por suerte no estaba solo, muchos de los ingenieros de Webex se fueron con él y además, tuvo la confianza de varios inversionistas, lo que le permitió levantar 3M $. Antes de irse, comentó que pasó mucho tiempo comunicándose con los clientes de Webex y con todas las quejas, formó una dirección, las resumió todas dedicándose a crear una app que las resolviera. En dos años, para enero de 2013, lanza la primera versión siendo un éxito inmediato, en dos meses ya contaba con 1 millón de usuarios -Funcionaba en conexiones lentas -Videoconferencias en HD -Versión para dispositivos móviles. Todo esto por un precio inferior a la competencia. Ya en abril de 2019 se convierten en una empresa pública, con una valoración de 16 Billones $. Lo demás es historia, en tan solo 14 meses gracias al incremento en la demanda debido a la pandemia alcanzan los 63 Billones $. Y desde inicio de año sus acciones se han apreciado 205%. Pero… ¿Realmente Zoom es una aplicación segura? ¿Estará Yuan realmente preparado para el desafío de otorgar seguridad en las comunicaciones de más de 300 millones de usuarios activos? ¿Es la mejor aplicación en este momento para llamadas de conferencia? Mi nombre es Rossibel García y en este episodio estaremos analizando la trayectoria de esta aplicación y sus temas de Seguridad y Privacidad… Te invito a que te quedes y resolvamos todas estas dudas. Jean: Bienvenido una vez más a este Podcast Tecnológico llamado Conciencia Virtual, mi nombre es Jean Carlos Gutierrez y estoy aquí acompañado de Rossibel, quienes juntos estaremos analizando si es seguro o no conectarse en la aplicación ZOOM. Hola Rossi, como estas? Has hecho un trabajo Genial con ese resumen histórico de Eric Yuan. Rossibel: aproveché estos días en cuarentena para investigar (Saludo a tu gusto y respuesta de la interacción) así que los invitamos a que se pongan cómodos para que disfruten de este nuevo episodio. Jean que te parece si hablamos de la decisión oficial por parte de Eric sobre aplicar cifrado end 2 end para todos los usuarios, rectractandose de la idea que solo el cifrado seria para las cuentas de pago. Jean: ¿Supiste la razón por la que se retractaba? Rossibel: Bueno Jean, desde el propio blog informaban que solo las cuentas pago iban a recibir el cifrado, y que si habían conversaciones privadas, podrían abrirlas en “caso de ser necesario” si sospechaban que las cuentas estarían implicadas en actividades delictivas. Jean: Aquí volvemos con el tema Privacidad vs Seguridad, pero OJO no estoy refiriéndome a la Seguridad de la aplicación porque ha estado muy insegura últimamente, sino la excusa que ofrecen los Gobiernos del mundo que quieren espiar a sus usuarios, diciendo que es por Seguridad Nacional. Para mi esto es solo un simple pretexto que tiene la empresa para decirte: Si estas en desde la opción gratuito, te sacaré el dinero con tus datos personales. Porque para que ibas a descartar a tus usuarios de cuentas gratuitas al cifrado si en menos de un mes decías públicamente que ibas a implementar Oracle Cloud Infrastructure para respaldar el crecimiento y satisfacer la necesidades de los usuarios. Los usuarios claramente te están pidiendo mejor privacidad y tú seguías sin querer otorgárselas. Rossibel: Jean, tengo entendido que esa función es para mejorar la demanda. Es decir la capacidad de usuarios ya superaba de manera significativa para con los servidores que estaban usando desde ese momento. Jean: Eso es totalmente cierto, pero yo también tengo otra hipótesis con ello. Eric viene jugando al CEO que le gusta complacer a Gobiernos, Rossibel: (forma de interrupción) Jean, algo que debemos considerar al analizar esto, es que ha sido prohibido su uso desde El Ministerio de Defensa del Reino Unido, Servicio Nacional de Salud del mismo, Gobiernos como la India o Taiwan, Ministerio de Defensa de Australia, el Ministerio de Asuntos Exteriores de Alemania, escuelas de Singapur, sin contar empresas estadounidenses como SpaceX, Tesla, Bank of America, empresas Europeas como Siemens AG, Ericsson, Daimler AG, Standard Chartered, NXP Semiconductor NV y la filipina Smart Communications. Jean: Todo eso es cierto. Y todo era porque de sus 73 Servidores de conexión 5 de ellos estaban ubicados en China y no solo tenían la posibilidad de compartir a ti como usuario las claves que necesitabas para entrar en una llamada de ZOOM con X persona, sino que también existía posibilidad que en esos servidores también pasara trafico de esa llamada y para nadie es un secreto que China en ocasiones les exige a las empresas las llave de cifrado y si tu les das ese contenido entonces ellos podrían saber lo que estaba pasando en esa conversación. Cuando estas empresas y países se enteran de esto, claro que deciden prohibirlo. Cualquiera en su sano juicio habría pensando en lo mismo. Pero hace ratico te decía que Eric juega a complacer Gobiernos, si tu como usuarios decides no usar la app porque tienes claro que algunas de sus llamadas pasan por servidores Chinos y luego como dueño de la empresa te anuncio que me estoy uniendo a Oracle, es para justo decirte, vente de nuevo, estoy de moda, ya estoy cumpliendo con tus requisitos de usuario. Dejándote dicho que también han realizado censuras desde la propia app indicando que estaban cumpliendo con las leyes locales de China. Para mi este CEO va procurar complacer a todos los que puedan, siempre y cuando para mantenerse en el mercado del país y segundo para estar activo en todos los países posibles. Rossibel: ¿Entonces bajo tu opinión el que se haya aplicado el cifrado es solo para complacer a la audiencia y seguir creando la confianza, en vez de mejorar en la Seguridad de la aplicación para que sea lo menos atacada posible?. Jean: Rossi, cuando esta aplicación fue utilizada desde el confinamiento, esta aplicación se conectaba con las Api Grafica de Facebook. Entonces ZOOM recolectaba de ti (usando o no la aplicación) datos como: usuario, nombre completo, dirección física, correo electrónico, numero telefónico y todo tipo de datos que pudiera identificarte, sin contar información de tu trabajo, tarjetas de crédito y débito, información de tus cuentas de Facebook, tanto la personal como Fanpage y demás servicios que utilizaras de esa empresa. Como te estabas conectado, IP, Mac Address, Sistema Operativo, la versión. Todo esto era enviado a Facebook y a su vez esta empresa los usaba para cruzar la data y al administrador de la llamada podía indicarle donde estabas, si estabas prestando o no atención a la reunión porque indicaba si la ventana esta activa o no, es más podías entrar a la sala de modo Anónimo y el Admin podía claramente saber que eras tu. Todo esto lo expuso en su momento Will Strafach un Investigador de IOS y cuando soltó la Bomba, lo que hizo ZOOM fue decir: Nosotros estábamos usando la SDK de Facebook y no teníamos idea de la información innecesaria que estaba recopilando de nuestros usuarios, esas herramientas solo la usábamos para facilitar al usuario el ingreso a nuestra plataforma. Actualmente eliminando todo eso para que luego tu actualizando la aplicación ya no tengas ese problema. Pedimos disculpas y estamos comprometidos en la Seguridad de nuestros usuarios. Rossibel: Si, recuerdo ese hecho, es más en esos mismos tiempos, veíamos en las noticias, como podías secuestrar una sala en particular, a modo administrador y enviar material pornográfico a todos los integrantes de esa reunión. Claro ese no seria el único problema de Seguridad que tendría. Patrick Wardle, un ex-hacker de la NSA descubrió que un atacante local con privilegios de usuario de bajo nivel puede inyectar al instalador de Zoom código malicioso para obtener el nivel más alto de privilegios de usuario ("root") Jean: Esos privilegios significan que el atacante puede acceder al sistema operativo macOS subyacente, que generalmente está prohibido para la mayoría de los usuarios, lo que facilita la ejecución de malware o spyware sin que el usuario lo note. Rossibel: ahora, ¿qué otras fallas y vulnerabilidades has podido notar en esta aplicación? Jena: El segundo error explotaba una falla en cómo Zoom manejaba la cámara web y el micrófono en Macs. Wardle dijo que un atacante podía inyectar código malicioso en Zoom para engañarlo y darle al atacante el mismo acceso a la cámara web y al micrófono que Zoom ya tiene. Una vez que se carga el código malicioso, "heredará automáticamente" alguno o todos los derechos de acceso de Zoom. También las vulnerabilidades recientemente parcheadas En una que aprovechaba la forma como se utilizaba el servicio GIPHY (buscador de gifs) donde no se confirmaba si el archivo a compartir provenía de ese servicio y a su vez tampoco verificaba el nombre del archivo entonces el atacante podría hacerte llegar un gif infectado de un servidor tercero y hasta almacenarlo en tu carpeta de inicio. Y la otra vulnerabilidad era aprovecha la forma como enviaba ZOOM fragmentos de códigos, permitiendo al atacante plantar binarios arbitrarios en computadoras especificas, logrando la ejecución de código remota. Jean: Ahora, Rossi, si un usuario necesita usar la aplicación de Zoom luego de todo lo que te he comentado ¿Que recomendaciones le darías para estar seguro en la aplicación? Rossibel: Eso es algo que deberías de decir tú! Pero yo también las conozco. Tú me vas diciendo si voy bien o no! 1. ¡Agregar una contraseña a todas las reuniones! 2. Usar salas de espera 3. Nunca compartir el ID de reunión por medios públicos 4. Desactivar el uso compartido de la pantalla del participante 5. Bloquear reuniones cuando todos se hayan unido 6. Mantener Zoom actualizado 7. Usar la autenticación multifactor (MFA) Pero ajá Jean, no has dicho si es preferible usar ZOOM o no? Jean: En realidad es una decisión final del usuario. Yo te podría decir ahora mismo que la historia que hemos comentado se parece MUCHÍSIMO a la historia de Whatsapp y no necesariamente el usuario tomaría la decisión de irse a otra plataforma. Y eso es por la cantidad de usuarios activos que hay en la plataforma. Si fuera así entonces ahora mismo Signal seria la aplicación de mensajería más usada por ser públicamente más segura. Algo que intenta ahora mismo mostrar ZOOM al liberarte en la plataforma de Github el código con el que esta cifrando su aplicación Rossibel: Pero Jean y liberando su código ¿No hace que la app sea más insegura? Ya que otros usuarios pueden ver como funciona y con ello atacar. Jean: El que otros usuarios puedan usar ese código para tratar de crear nuevas maneras de atacar, también te puedo decir que la comunidad puede ayudar a mejorar ese código, creando confianza en desarrolladores y comunidad que a su vez ayuda mucho a los usuarios finales. Rossibel: Claro, Claro! Pero si con todo lo que hemos comentado hoy, sabiendo que ZOOM sigue haciendo cambios en pro para liberarse de vulnerabilidades y hasta de prohibiciones en diferentes países, ¿qué aplicación podrías recomendar distinta a ZOOM para hacer videollamadas grupales?. Jean: Que yo pueda decirte, esta es la más segura en realidad no lo puedo hacer, porque hoy te puedo recomendar una y mañana sale una vulnerabilidad que la afecta. Hay muchas aplicaciones, Skype, Microsoft Teams, Cisco Webex, Facetime, Google Meet, Google Duo, menos conocidas como: BlueJeans, Zoho, Lifesize, Intermedia AnyMeeting, GoToMeeting, RingCentral Meetings, entre otras y solo tu decides cual cumple tus expectativas de Seguridad. Rossibel: Estoy seguro que todas estas recomendaciones serán de gran utilidad para muchos, ha sido un episodio más que completo. En el siguiente aprenderemos a como mejorar nuestras contraseñas ya que ha sido una de las recomendaciones hechas. Jean: Pueden encontrarnos en redes sociales como: Rossibel: www.facebook.com/concienciavirtual Jean: En instagram como @concienciavirtual Rossibel: y en Twitter como @concienciavirt Jean: Para contenidos similares como este puedes irte a la Liga.Fm en donde encontrarás podcast amigos. Rossibel: de este lado nos despedimos. Quienes te acompañamos en este viaje para geeks y no tan geeks, Jean Carlos Gutierrez y Rossibel García. Seguiremos compartiendo mas conciencia virtual. Jean: y no me queda más nada que decir que: Un Saludo y un Abrazo Virtual.

50 episodios