Investigadores desaconsejan utilizar Zoom para temas confidenciales

El instituto de investigaci贸n Citizen Lab, con sede en Toronto, ha recomendado a las organizaciones no utilizar la aplicaci贸n de teleconferencia Zoom para determinados tipos de reuniones, tras descubrir “importantes debilidades” en el sistema de cifrado propio que utiliza la aplicaci贸n.

Citizen Lab dijo adem谩s haber encontrado un fallo no parcheado en la funci贸n de salas de espera de Zoom y haberlo reportado a la empresa. El informe del grupo se produce tras la decisi贸n de Zoom la semana pasada de congelar el conjunto de caracter铆sticas actuales de la aplicaci贸n y dedicar los pr贸ximos 90 d铆as a trabajar exclusivamente en “cuestiones de fiabilidad, seguridad y privacidad”.

Citizen Lab, adscrito a la Universidad de Toronto, dijo que Zoom parece utilizar una extensi贸n adaptada al est谩ndar del Protocolo de Transporte en Tiempo Real (RTP), que incluye el propio esquema de cifrado de la empresa.

El mecanismo implica el uso de una 煤nica clave AES-128 generada por los servidores de Zoom y compartida entre los participantes para la encriptaci贸n y desencriptaci贸n del audio y el v铆deo de la llamada, dijeron los investigadores.

El cifrado y desencriptaci贸n de Zoom utiliza el Est谩ndar de Cifrado Avanzado (AES) en el modo ECB, que seg煤n los investigadores es considerado “una mala idea” ya que los par谩metros de la fuente siguen siendo detectables. El laboratorio critic贸 a la empresa por haber hecho “afirmaciones potencialmente enga帽osas y conflictivas” en relaci贸n con su sistema de cifrado, cuyos detalles afirm贸 nunca han sido aclarados por la empresa.

Los investigadores tambi茅n encontraron que en las llamadas de prueba la clave AES-128 fue enviada a los participantes desde un servidor de Zoom aparentemente ubicado en Beijing.

“Una empresa que atiende principalmente a clientes norteamericanos y que a veces distribuye claves de cifrado a trav茅s de servidores en China es potencialmente preocupante, dado que Zoom puede estar legalmente obligada a revelar estas claves a las autoridades en China”, dijo The Citizen Lab en su estudio.

Zoom Video Communications, que tiene su sede en Silicon Valley y cotiza en Nasdaq, fue fundada por Eric Yuan, nacido en China, y emplea al menos a 700 personas en China para desarrollar el software de Zoom.  Seg煤n Citizen Lab, esta particularidad “puede hacer que Zoom tenga que responder a la presi贸n de las autoridades chinas”.

El tema no habr铆a tenido la misma relevancia hace unas semanas, pero el uso de aplicaciones de teleconferencia, y Zoom en particular, se ha disparado en medio de la crisis del coronavirus. Zoom afirm贸 haber contabilizado m谩s de 200 millones de comunicaciones diarias en marzo, comparado con el m谩ximo anterior de 10 millones, seg煤n inform贸 la empresa la semana pasada.

El software Team de Microsoft tambi茅n ha registrado un aumento significativo en el tr谩fico, mientras que Webex de Cisco recibi贸 324 millones de participantes en marzo, con un crecimiento del uso de 2,5 veces en las Am茅ricas, cuatro veces en Europa y 3,5 veces en Asia-Pac铆fico, seg煤n inform贸 Cisco la semana pasada.

Con las confidenciales conversaciones gubernamentales y empresariales que se est谩n llevando a cabo en este tipo de plataformas, la situaci贸n ha creado una “potencial mina de oro para los ciberesp铆as”, dijo The Citizen Lab.

Citizen Lab afirm贸 que al margen que  Zoom sea extremadamente f谩cil de usar, “la implementaci贸n de seguridad de llamadas en Zoom puede no coincidir con su excepcional facilidad de uso”, y aconsej贸 a los gobiernos, empresas, proveedores de salud y otros a no utilizarlo para discutir material confidencial.

Con todo, los investigadores dijeron que Zoom presenta pocos riesgos de seguridad para quienes busquen mantenerse en contacto con amigos, celebrar eventos sociales u organizar cursos o conferencias. “Zoom ha cometido el cl谩sico error de dise帽ar e implementar su propio esquema de cifrado, en lugar de utilizar uno de los est谩ndares existentes para cifrar el contenido de voz y v铆deo”, dijo el investigador de The Citizen Lab Bill Marczak.

“Por supuesto, la encriptaci贸n de Zoom es mejor que cero encriptaci贸n, pero los usuarios que esperan que sus reuniones de Zoom est茅n a salvo del espionaje deber铆an pens谩rselo dos veces antes de usar la aplicaci贸n para discutir informaci贸n sensible”.


Evento 15/12 驴C贸mo prepararse para un futuro que abre tantas posibilidades? Un selecto panel de visionarios del sector explorar谩 el potencial que ofrece 5G.
Evento 1/12 驴Cu谩nto costar铆a en el mercado negro un sistema de autoconducci贸n completamente desarrollado? Panel de expertos liderado por Mauricio S谩nchez de Dell'Oro Group aborda el imperativo de proteger los activos de TI e IA.

驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.