La plataforma de videoconferencia Zoom ha resuelto acusaciones sobre prácticas de seguridad negligentes y engañosas mediante un acuerdo con la Comisión Federal de Comercio (FTC), según ha confirmado la propia empresa.
Tras analizar las prácticas de ciberseguridad de Zoom, la FTC ha afirmado que la empresa incurrió en una “serie de prácticas engañosas e insostenibles que socavaron la seguridad de sus usuarios”.
Según constató la FTC, la empresa mintió sobre la seguridad real de sus sistemas, a la vez que mantuvo registros de las videollamadas de las personas. También afirmó que ofrecía cifrado de extremo a extremo, a pesar de lo cual conservaba las claves criptográficas que le permitían acceder independientemente a los datos de sus usuarios.
La FTC concluyó que, al afirmar lo contrario, daba a sus usuarios una falsa sensación de seguridad, lo cual era particularmente importante durante la pandemia, ya que muchas personas, como los profesionales de la salud, no tenían otra opción que compartir datos sensibles a través de Internet.
La autoridad estadounidense también afirmó que Zoom almacenaba las actas de algunas reuniones en un formato no cifrado durante un máximo de dos meses, junto con instalar servidores web en las computadoras de sus usuarios sin que éstos lo supieran o lo consintieran.
Como parte del acuerdo, Zoom tiene prohibido falsear u omitir información sobre sus prácticas de seguridad y tendrá que cumplir con las siguientes obligaciones:
- Evaluar y documentar, cada año, cualquier riesgo potencial de seguridad interna y externa y desarrollar formas de mitigarlo
- Establecer un programa de gestión de vulnerabilidades
- Crear salvaguardias (MFA, por ejemplo), crear controles de eliminación de datos y evitar el uso de credenciales comprometidas conocidas
- Revisar las actualizaciones de software para detectar fallos