Zoom: la otra pandemia
El poder de la moda (no puedo quedarme afuera)
Sin saber muy bien porqué, de pronto todo el mundo consideró imprescindible usar Zoom. Una fuerte campaña de promoción que tenía como viento de cola el aislamiento necesario por el COVID-19 muy rápidamente posicionó la app en el top 10. Siendo la única aplicación conocida que permite hasta 100 participantes en una conferencia compartida de hasta 40 minutos sin pagar un peso, tiene cierta lógica. El problema es que, como todo lo que se pone de moda, usuarios en masa se volcaron a Zoom, no ya para conferencias laborales múltiples, sino para chatear con la vecina. Algo que, por cierto, puede hacerse de modo mucho más eficiente y seguro con… WhasApp! Que ya lo tenés instalado. Que lo usás hace años. Que, está probado, tiene un sistema de cifrado que hasta pone de los pelos al FBI… pero no hay, caso… vos necesitabas Zoom…
Y así fue como en un par de semanas multiplico por millones sus sesiones activas, acumuló cantidades montruosas de usuarios (y sus datos personales) y, obviamente, se transformó en un apetitoso botín de cuanto hacker, empresa de recolección de hábitos de navegación y red social anduviese por allí.
Chiche nuevo (es fácil! para que voy a leer el manual????)
Así como se instala, no requiere más que crear una cuenta e iniciar sesión para poder empezar a invitar gente a nuestras conferencias. Y hasta en un momento se podía saltar el paso de crear la cuenta, porque podías usarlo con tus credenciales de Facebook… Porqué alguien preferiría entrar a un servicio con los datos de acceso a otro es ya algo bastante raro… Es como darle a un desconocido la llave de tu casa, así no tenés que llevar otras llaves por allí. Pero bueno, obviando ese punto, resulta que esa comodidad le está costando a Zoom la apertura de una investigación judicial en EEUU (para empezar) porque a cambio de usar el soporte de Facebook para el acceso a su servicio, transmitió toneladas de info de los usuarios hacia los servidores de la red social, tuviesen o no un perfil en esa red.
Pero eso no es todo: tal como viene configurado, no es necesario que autorices a cada participante que quiera compartir la conexión… simplemente teniendo el ID puede entrar cualquiera. Por supuesto, esto puede modificarse desde la configuración de la aplicación antes o durante una conferencia, pero casi nadie se tomó el trabajo de aprenderlo. Entonces pasó y sigue pasando que irrumpan imágenes pornográficas en lllamadas grupales de la maestra con sus alumnos de primaria, trolls políticos en conferencias empresariales, publicidades, spam y muchísimos estúpidos que encontraron en esta falla un medio para aplanar el aburrimiento de su cuarentena.
Dirás… «Bueno, pero para conectarse tiene que tener el ID». Si, ponéle… pero con el afán de conseguir más participantes, en muchísimos casos quien organiza una reunión por Zoom lo publica, por lo menos, en Instagram.
Para ingresar en una teleconferencia, se necesita un código y, a menudo, una clave, además. Las claves se publican en Instagram, Twitter, Reddit, 4Chan, Discord y foros privados donde miles de personas de congregan para compartir los accesos. Las claves son publicadas por estudiantes y otros interesados en desestabilizar sus propias instituciones.33
https://es.wikipedia.org/wiki/Zoom_Video
Apenas hace un rato estaban publicando un ID por TV, pero por suerte le pusieron una contraseña de acceso… que tambien publican, para que la gente pueda entrar. Esperemos que sepan lo que hacen…
Y cómo si esto fuera poco (seguimos entregando!)
Nos ilustra Wikipedia en un breve racconto:
ESET advirtió acerca del riesgo de uso de «cualquier tipo de sistemas de teleconferencia gratuitos», después de testificar acerca de una llamada victimizada por zoombombing.8
El FBI (la policía federal de los Estados Unidos) advirtió acerca del secuestro de videoteleconferencias y de teleaulas, fenómeno que denominó zoom-bombing.9
El senador estadounidense Richard Blumenthal escribió al gerente general de Zoom, Eric Yuan, exigiendo respuestas acerca de la «preocupante historia de hábitos de diseño de programación y errores de seguridad» de la compañía.10 Zoom admitió que una porción de las llamadas en otros países se enrutaron vía sus servidores en China, sin indicar qué porcentaje. Como las llamadas no iban criptadas de usuario a usuario, sino solamente entre usuarios y Zoom, las llamadas estuvieron por ley china abiertas al gobierno de ése país.11
El 23 de marzo de 2020, ciertos hackers descubrieron que, debido a que Zoom auto-convierte enlaces enviados a los participantes en las videollamadas, éstas inmediatamente se vuelven un vector para que los ladrones «accedan a recursos de red compartidos, tales como servidores de Outlook y dispositivos de almacenaje», es decir, dispositivos compartidos tales como discos duros, impresoras, carpetas compartidas y otros.121314
https://es.wikipedia.org/wiki/Zoom_Video
El primero fue Elon Musk ? (para variar…)
No, esta vez le ganó de mano el Ministerio de Defensa del Reino Unido, que prohibió el uso de Zoom a todo su personal, asesorado por sus especialistas de seguridad cibernética, en Marzo de 2020. Pocos días después Space X (la de Elon Musk, el que está sembrando miles de satélites en nuestros horizontes…) hizo lo propio con los integrantes de la empresa. Y siguió Google, la NASA, la Fuerza Aérea Australiana, el Ministerio de Asuntos Exteriores de Alemania, las escuelas estatales de Nevada y el gobierno de la ciudad de Nueva York. En Canadá el gobierno no lo prohíbe todavía, pero no lo usa para comunicaciones seguras. Y algo parecido hace el Senado de EEUU, que no lo prohíbe (lobby?) pero ya avisó a sus senadores que mejor no lo usen. Ah… y el gobierno de China, despues de ver lo fácil que era meter las narices en las videoconferencias de los usuarios de Zoom, tambien lo prohibió.
Pero vos todavía se lo querés instalar al nene para que hable con sus amiguitos… Bueno, en ese caso, al menos tomate el tiempo de leer las recomendaciones que, vapuleados por las circunstancias, los muchachos de Zoom, tarde, publicaron en su blog oficial:
Y, por supuesto, sólo podés usarlo o descargarlo desde la web oficial: https://zoom.us/ ya que existen un sinfín de sitios que se ofrecen como Zoom y no lo son, o te prometen el uso gratuito de las funciones Pro (pagas) y en realidad terminarán infectándote con algún virus o malware o simplemente se quedarán con datos tuyos que preferirías permanezcan privados. En cuanto a smartphones, si el viento no cambia es probable que en breve desaparezca la opción de descargarlo desde Play Store o Apple Store… o no. Apple y Google no quieren que sus empleados lo usen para no comprometer secretos industriales, pero negocios son negocios…
