Las videollamadas de Zoom no están cifradas de extremo a extremo a pesar de anunciarlo así [ACTUALIZADO]

Las videollamadas de Zoom no están cifradas de extremo a extremo a pesar de anunciarlo así [ACTUALIZADO]

24 comentarios Facebook Twitter Flipboard E-mail
Las videollamadas de Zoom no están cifradas de extremo a extremo a pesar de anunciarlo así [ACTUALIZADO]

Zoom, la conocida app de videollamadas, se acaba de ver envuelta en una nueva polémica respecto a la seguridad de la plataforma. A pesar de que la app, tanto en su página web como en su interfaz, presume de ofrecer cifrado de extremo a extremo, la realidad es otra.

Felix (@c1truz_), técnico jefe del rastreador de malware VMRay, informa en su cuenta de twitter que el instalador de Zoom para Mac usa unos scripts para falsificar mensajes del sistema. La instalación aprovecha estos scripts para automatizar la instalación sin solicitar el permiso al usuario y falsifica un mensaje para obtener privilegios en el sistema. Tal como comenta Felix: "los mismos trucos que usa el malware".

Tal como publica The Intercept, el servicio de videoconferencia no cifra las conversaciones de extremo a extremo, por lo que los servidores pueden descifrar cualquier llamada y ver y oír a todos los participantes.

¿Cifrado de extremo a extremo?

Cifrado

Un apunte muy breve sobre el cifrado. Cuando hablamos de cifrar estamos hablando de unas operaciones matemáticas que aplicamos a una información de modo que la representación de esa información cambie. Podemos, por ejemplo, decidir que desplazaremos las vocales una posición cuando escribimos por lo que pasaremos de "Apple" a "Eppli".

En el campo del cifrado informático, resumidamente resumido, lo que hacemos es una operación matemática. Imaginemos que los ceros y unos de nuestra información los multiplicamos por 19 y enviamos el resultado. Una persona que intercepte nuestro envío, al desconocer que hemos usado el 19 para multiplicar nuestros datos, será incapaz de entenderlos. Mientras, nuestro destinatario simplemente realizará una división sencilla y tendrá toda la información. En el mundo real las operaciones son mucho más complejas y los valores muchísimo más elevados, pero el principio viene a ser el mismo.

Ahora, ¿quién tiene la llave? Esta es la pregunta más importante cuando hablamos de cifrado. ¿Quién conoce nuestro número 19? Si solo somos nosotros bien, si la conoce el cartero la situación cambia. Y esa es la diferencia entre cifrar y cifrar de extremo a extremo. Cuando ciframos de extremo a extremo nos aseguramos de que solo nosotros y nuestro remitente podemos calcular la clave necesaria para descifrar el mensaje. Esto significa que no tiene importancia cuán inseguro pueda ser el camino que recorre nuestra información. Se encuentra a salvo.

¿Qué cifrado tiene Zoom?

Zoom Cifrado

A pesar que tanto en su página web, como en el material publicitario, como en la misma interfaz de la app, se habla de cifrado de extremo a extremo la realidad es otra, tal como confirma un portavoz de Zoom.

Actualmente no es posible habilitar la encriptación E2E (de extremo a extremo) para las reuniones de vídeo de Zoom. Las videoconferencias de Zoom utilizan una combinación de TCP y UDP. Las conexiones TCP se hacen usando TLS y las conexiones UDP se encriptan con AES usando una clave negociada sobre una conexión TLS.

En resumidas cuentas, que las conversaciones de Zoom usan el mismo cifrado que la página que estas leyendo.

Lo que hace Zoom es cifrar la conversación entre el emisor y sus servidores, posteriormente la conversación se procesa y el servidor la cifra entre él y los receptores. Esto significa que la conversación e información está totalmente expuesta en los servidores de Zoom.

¿Implica un riesgo? Sí. El hecho de que la empresa tenga acceso a las conversaciones de sus usuarios implica dos cosas si damos por hecho la buena fe de la empresa. En primer lugar que los gobiernos o agencias de inteligencia pueden solicitar legalmente el acceso a esos datos, y, en segundo, que un atacante puede acceder a los servidores de Zoom sin que siquiera la empresa lo sepa y obtener toda la información.

¿Qué puedo hacer?

Ft

Si usamos Zoom para reuniones de empresa hay que buscar una alternativa. FaceTime, el servicio de videollamada de Apple, está cifrado de extremo a extremo desde su lanzamiento en 2018. Signal, incluso recomendado por Edward Snowden, permite lo mismo. Incluso Telegram, siempre que usemos un chat secreto, ofrece cifrado de extremo a extremo.

Si nuestro uso de Zoom se limita a hablar con un grupo de amigos y familiares y la conversación podría mantenerse en un restaurante a oídos de todos, queda a discreción de cada uno la elección de plataforma.

La recomendación es que usemos herramientas de comunicación segura. ¿Tenemos algo a esconder? No, pero casi cualquier conversación puede sacarse de contexto. Afortunadamente Apple pone en nuestras manos todas las herramientas necesarias para mantener seguras nuestras comunicaciones digitales.

Fuente | The Intercept

Comentarios cerrados
Inicio