Skip to content

BLOG

Novedades, ideas y reflexiones varias.

El escándalo de Zoom, en retrospectiva

Como llevamos unos días presenciando la fuerte caída de Zoom en bolsa (a pesar de tratarse, posiblemente, de la mejor aplicación de videoconferencia del mercado), y la dentellada reputacional que ha seguido a sus particulares deslices, paso aquí a dar la vista de pájaro con el análisis frío que permite la retrospectiva.

Carcasa de Blue Chip, motor de Startup

Los principales agujeros de seguridad y privacidad publicados en meses recientes son a todas vistas inaceptables para una empresa que cotiza en bolsa y vive de prestar servicios de comunicación al mercado profesional. Algunos de ellos parecen resueltos a fecha de hoy, pero a modo de histórico: 

  • Login con Facebook: como ha sido reconocido por la propia empresa, su uso del Facebook “SDK” (Software Development Kit en iOS) supone la remisión a la red social de datos identificativos del dispositivo (con propósitos de segmentación publicitaria), modelo, espacio disponible, tamaño de pantalla, zona horaria y operadora. Todo ello con independencia de que los usuarios de Zoom tengan o no cuenta en Facebook. 
  • LinkedIn Sales Navigator: permitiendo a ciertos clientes hacer uso de una conocida funcionalidad “Premium” de LinkedIn, Zoom ejecuta un “lookup” de la identidad de los participantes en cada llamada contra la base de datos de la red social sin consentimiento expreso de estos, incluso en los casos en que el participante decide ocultar su identidad.
  • URLs de las sesiones grabadas: en aras de simplificar el proceso de grabado y archivado de reuniones, Zoom genera URLs de descarga directa que a su vez facilita por email a los administradores de cada cuenta. La previsibilidad de estas URLs ha permitido que bots de sencilla elaboración encuentren y descarguen todo tipo de conversaciones sensibles, procediendo sus artífices a continuación a colgarlos en YouTube, Vimeo… e incluso canales privados corporativos de potenciales competidores mediante el hackeo de otros productos de comunicación interna. 
  • Instalación (por defecto) de un web server local: permitiendo en su momento abrir la aplicación directamente desde Safari (en dispositivos Apple), pero también dando pie a que cualquier web maliciosa arrancara el propio servicio sin solicitud expresa
  • Publicidad engañosa: a pesar de anunciarse a bombo y platillo una encriptación “end to end” (estilo Signal, FaceTime, Whatsapp, etc.) para usuarios de audio integrado (que no se unen por teléfono), no existe tal cosa. El asunto podía haberse quedado en nada porque ningún competidor directo (Microsoft Teams, Google Hangouts, Skype, etc.) la ofrece, con lo que bastaba con no presumir de ello. Zoom sí que facilita encriptación “de transporte”, del mismo modo que una llamada HTTPS lo hace en la web: la información viaja encriptada, pero los servidores de Zoom pueden descifrarla. 
  • Vulnerabilidad en Windows: permitiendo a intrusos robar datos de acceso al programa y ejecutar archivos en el dispositivo.
  • Supervisión subrepticia de empleados por parte de administradores de cuenta: con funcionalidades que permiten saber qué miembros del equipo están prestando poca atención a la reunión por mantener otras ventanas superpuestas en sus dispositivos.
  • Piedras en el camino de sus clientes para el cumplimiento de GDPR y ePrivacy: a pesar de su reciente lavado de cara, y de un esfuerzo por ampliar la política de protección de datos públicamente disponible, todavía no hay forma de entender cuál es el flujo de datos desde la UE a EEUU, y desde ambos a China. La empresa parece reservarse una carta blanca para desviar llamadas y datos de un lugar a otro en función de capacidades disponibles pero, beneficioso como puede resultar a efectos de calidad del servicio, cuesta explicar esto en el análisis de riesgos que un responsable del tratamiento/”controller” hace sobre este particular encargado/”processor”. 

El denominador común de todos ellos es, sin duda, hacer la vida más fácil a sus usuarias, pero esta simplificación tiene un coste. El uso del Facebook SDK, sin ir más lejos, permite además simplificar el trabajo a la propia empresa en la gestión de registros (y es común entre muchas startups en fase de arranque), pero poco queda añadir aquí a lo comentado por varios medios: se puede aceptar que Facebook cuele sus condiciones leoninas a una aplicación gratuita de consumidor sustentada sobre publicidad (y, por ende, sobre el recabado indiscriminado de datos), pero no que lo haga a una plataforma por la que pagan las mayores empresas del planeta. 

Que conste con todo ello que Zoom no estaba sola y la práctica es habitual en empresas no sustentadas sobre el mercado publicitario. A la mente me viene Cabify en España sin ir más lejos, usada por ambos particulares y empresas y, en nuestro más reciente análisis, enviando datos a Facebook con independencia de que se tenga cuenta activa en la plataforma.  

Cómo se han resuelto: 

Zoom se ha deshecho de “Login con Facebook” y LinkedIn Sales Navigator en un abrir y cerrar de ojos, con Apple eliminando hace ya meses el agujero de seguridad en sus dispositivos (asociado al web server local) mediante una actualización “silenciosa”. Parece además ser que la vulnerabilidad en Windows no está presente en la versión más reciente del programa. Zoom ha reconocido igualmente, por fin, que no hay encriptación end-to-end. Sigue faltando información sobre la aplicación de Privacy Shield (en el caso de tratamiento en EEUU) o el flujo de los datos hacia China (que abordamos más abajo). 

Cuchillo de jamón para untar sobrasada

La práctica de “Zoombombing” ha sido probablemente más comentada que todo lo anterior: eventos virtuales de gran éxito y afluencia, interrumpidos por una proyección pornográfica espontánea. Una convocatoria abierta incorporando la URL de acceso y sin limitaciones a la toma de palabra para “compartir pantalla” ha sido hasta ahora el caldo de cultivo para estas intromisiones. 

La respuesta de Zoom sí parece haber bastado para ponerles coto: resulta sencillo aplicar ciertas salvaguardas a la comunicación pública de una convocatoria y la gestión de dicho evento virtual (incluyéndose la alternativa de un producto destinado a “webinars” con mayor enfoque en el broadcasting o la comunicación predominantemente unidireccional). Eso sí, una vez más, las mismas razones que han atraído a muchos usuarios a la plataforma (espectacular sencillez en su manejo) vuelven a estar detrás de la amenaza resultante. 

China como trampolín… y como cruz

Difícilmente puede culparse a Eric Yuan (fundador y CEO) de buscar eficiencias con un equipo de más de 700 personas basado en su país natal, o de presumir de estas en la documentación que acompañó a su salida a bolsa. Pero la cuerda geopolítica está tensa estos días y cualquier riesgo de remisión de datos a un país sin el nivel adecuado de protección exige el máximo escrutinio. 

Como era además de prever, ha bastado que exista el riesgo para darse la excepción. Una investigación reciente de CitizenLab en Canadá descubrió que un porcentaje de tráfico de las llamadas estaba siendo circulado a través de los data centers ubicados en China. La empresa no tardó en reconocerlo aduciendo su necesidad de gestionar la avalancha de tráfico provocada por el confinamiento global resultante del Coronavirus. 

El verdadero coste de una experiencia sin fricción. El árbol de la vida

Cuesta aceptar, en tiempos en que la experiencia de cliente impera sobre todas las cosas, que la muy denostada “fricción” puede ser consecuencia de la aplicación de garantías irrenunciables de seguridad, privacidad o confidencialidad. La autenticación de doble factor es, que duda cabe, una molestia para el usuario. Como lo es tener que facilitar un password independiente de la URL de destino de cada reunión. Pero no vivimos (¿aún?) en un mundo libre de ataques, corrupción, espionaje industrial o pura acrimonia, y lamentablemente toca protegerse frente a estas amenazas. 

El coste para Zoom puede palparse en un goteo constante de repercusiones en cascada: 

  • El ayuntamiento de Nueva York lo ha prohibido en sus colegios
  • Elon Musk (siempre mediático) lo ha eliminado de su stack tecnológico en SpaceX
  • El Senado estadounidense ha pedido a sus miembros que dejen de usarlo
  • Google ha lanzado una campaña interna para solicitar a sus empleados que lo desinstalen
  • Innumerables empresas se han pasado a Microsoft Teams o Skype (welcome back to Gilead). Otras han desempolvado viejas glorias. 

En fin, surgirá tal vez una nueva Zoom más pesada y aburrida, pero preparada para el mundo real. Y tal vez sea esto lo que vuelva a abrir el hueco para productos aún mejores y más intuitivos. El mismo hueco que un día dejaron Webex o GoToMeeting, y que solo alguien con la suficiente inocencia, agilidad y ligereza de cascos frente a los riesgos inherentes a la naturaleza humana podrá capitalizar. 

Con todo lo que ahora procede poner el grito en el cielo, qué fácil es criticar y qué difícil es crear.

Share on twitter
Share on facebook
Share on linkedin

01

¿Eres un usuario y quieres tener más control sobre tus datos?

Cuéntame +

02

¿Eres un medio, una app o un anunciante y quieres saber más sobre nuestra plataforma?

Escríbenos