Zoom y las reuniones remotas

por | 04/20/2020

Como ya estamos enterados muchos, para no decir todos, los que trabajamos en el sector de la seguridad informática Zoom tiene hace un tiempo largo varios reportes de seguridad que hacen dudar de, justamente, su seguridad y privacidad.

Si no leyeron, les dejo alguna de las tantas noticias que se difundieron últimamente:

https://thehackernews.com/2020/04/zoom-windows-password.html

https://thehackernews.com/2020/03/zoom-video-coronavirus.html

https://thehackernews.com/2020/04/zoom-cybersecurity-hacking.html

Y algunas recomendaciones:

https://www.zdnet.com/article/make-sure-your-zoom-meetings-are-safe-by-doing-these-10-things/

También la empresa saco algunos comunicados al respecto, sobre todo cuando se puso en duda la encripción «end-to-end»:

https://support.zoom.us/hc/en-us/articles/201362723-Encryption-for-Meetings

Pero bueno, parece que las dudas sobre su privacidad siguen y no se sabe si todas las vulnerabilidades reportadas y no reportadas fueron resueltas.

Ahora bien, particularmente fui sorprendido varias veces en estas ultimas semanas en eventos, podcast, charlas de Seguridad Informática, Ciberseguridad, Privacidad, Datos personales, etc. donde utilizaban esta plataforma, cosa que me parece bastante irresponsable por el lado de los Organizadores utilizar justamente esta plataforma en medio de todos estos problemas. Creo que algo importante en todo esto es predicar con el ejemplo y me parece poco ético estar hablando de estos temas utilizando una plataforma tan discutida últimamente. Creo que por sus funcionalidades es una de las mejores del mercado, pero no por eso deberían estar poniendo en riesgo a más usuarios instalándose el cliente de Zoom. Sumado a eso estamos en el año 2020 y la cantidad de opciones que tenemos para hacer lo mismo son muy amplias, y no solo opciones privativas sino que existen otras como Jitsi la cual es OpenSource y podes utilizar en la nube (meet.jit.si) o podes instalarte tu propio servidor en menos de 1hs.

No tengo duda que muchas de las vulnerabilidades ya fueron solucionadas, pero si hubo tantas en tan poco tiempo que nos asegura que el software este bien «parado» desde el punto de seguridad y no existan más vulnerabilidades ?

Adicionalmente no quiero dejar pasar la oportunidad de hablar sobre el lado comercial de todo esto, ya que también difundir la utilización de este tipo de herramientas privativas hace que los usuarios estén día a día más controlados por empresas, cosa que desde el punto de la Seguridad de la información o la Ciberseguridad son un poco contrarías, dado que la privacidad de los datos de los usuarios es un poco cuestionable. En este caso yo me inclinaría a recomendar otro tipo de herramientas, como la que ya comente más arriba, donde el usuario no solo tiene el código fuente sino que también tiene múltiples opciones para utilizarla sin la necesidad de instalar un cliente (otro de los puntos con respecto a la seguridad).

Para ir finalizando, quiero transmitirle a todos que una de las responsabilidades de todos los que inculcamos el uso más seguro del software, la protección de los datos personales, la ingeniería social, etc. también es hacerlo de forma segura. Entonces tratemos de pelear contra la típica frase de «en casa de herrero, cuchillo de palo», ya que si te estoy queriendo enseñar sobre Seguridad Informática no te puedo estar «forzando» a utilizar una plataforma que presenta varias vulnerabilidades, o si te quiero enseñar sobre la privacidad de los datos pedirte que te instales un software (cliente o plugin) más en tu maquina. Seamos consistentes…

Sin más me despido y cualquier cosa nos comunicamos por los comentarios; como siempre, muchas gracias por leerme :)

Nota 1: Mi recomendación es que no se instalen más software si no es necesario (ir a nota 2) y para los que tienen la responsabilidad de enseñar, por favor, no elijan opciones que haga que los usuarios tengan que instalar más cosas en sus PCs, si tenemos otras opciones, vayamos por ellas !

Nota 2: Si tenemos que instalar más software siempre comprobemos tener la ultima versión y si podemos revisemos cuales son las recomendaciones de seguridad para dicho software, a veces dedicando 5min. a las configuraciones nos podemos ahorrar muchos dolores de cabeza.

Nota 3: (para gente que tiene uso avanzado de las computadoras) utilicen una VM (maquina virtual) para todo aquel software que no sea de uso continuo o que pueda complicar la seguridad de nuestra computadora.

Nota 4: Y si quieren TIPs de seguridad de Zoom, diríjanse al sitio que ellos mismos tienen (https://zoom.us/security), los fabricantes suelen dar las mejores recomendaciones y son los que más conocen su software.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.