Zoom se disculpa por sus problemas de seguridad

“Nos hemos quedado cortos en cuanto a las expectativas de privacidad y seguridad de la comunidad y las nuestras”, dice el CEO de Zoom. Sin embargo, los recelos podr铆an ser exagerados.

En diciembre de 2019, la herramienta de videoconferencia de Zoom ten铆a 10 millones de participantes en reuniones diarias en promedio. En marzo de este a帽o, esa cifra era de 200 millones. Este entusiasmo ha generado una combinaci贸n de simpat铆a y hostilidad en la comunidad de seguridad, as铆 como un debate sobre lo 煤tiles que han sido las recientes revelaciones. Entre las m谩s pol茅micas, est谩 la revelaci贸n de dos vulnerabilidades de d铆a cero, dadas a conocer a trav茅s de Techcrunch sin notificaci贸n previa a Zoom.

Patrick Wardle, ex funcionario de la NSA y ahora empleado de Jamf, revel贸 las dos vulnerabilidades, que aparentemente permiten a un atacante conectarse a la webcam y al micr贸fono del usuario de Zoom. Wardle ha sido criticado por publicar el tema en Techcrunch en lugar de avisar a Zoom directamente. 

En tal sentido, Dave Kennedy, CEO de TrustedSec, escribi贸: “La mayor铆a de los hallazgos hasta ahora se considerar铆an de riesgo bajo a medio. No es el fin del mundo. Revelar las vulnerabilidades a los medios de comunicaci贸n perjudica nuestra credibilidad, sensacionaliza el miedo y perjudica a los dem谩s. La mayor铆a de estas situaciones ni siquiera arrojar铆an un resultado alto o cr铆tico en cualquier evaluaci贸n de un investigador normal. Sin embargo, tiene implicaciones de alcance mundial para las masas que no entienden los detalles t茅cnicos. Crea histeria cuando no se necesita”.

El conocido investigador de seguridad de Google, Tavis Ormandy, no est谩 de acuerdo con Kennedy y aplaudi贸 a Wardle: “Es un problema con la instalaci贸n  en s铆, y las instalaciones est谩n siendo masivas aqu铆 y ahora, no en seis meses. Ahora es el momento de asegurarse de que la gente es consciente de los riesgos, buen trabajo Patrick Wardle. As铆 es como se ve la verdadera divulgaci贸n responsable”.

Por su parte, el CEO de Zoom, Eric Yuan, dijo en su blog: “Nuestra plataforma fue creada principalmente para clientes empresariales; es decir, grandes instituciones que cuentan con soporte total interno de TI. 脡stas van desde las mayores empresas de servicios financieros del mundo hasta los principales proveedores de telecomunicaciones, agencias gubernamentales, universidades, organizaciones sanitarias y consultorios de telemedicina. Miles de empresas de todo el mundo han realizado exhaustivas revisiones de seguridad de nuestras capas de usuario, red y centro de datos y han seleccionado con confianza a Zoom. Los nuevos casos de uso “mayoritariamente de consumidores” y el correspondiente foco de atenci贸n sobre la empresa han ayudado a descubrir problemas “imprevistos con nuestra plataforma”.

Zoom ahora establecer谩 una congelaci贸n de funciones, de forma efectiva e inmediata, y destinar谩 “todos nuestros recursos de ingenier铆a a centrarse en nuestros mayores problemas de confianza, seguridad y privacidad”, dijo Yuan. 鈥淓sto incluir谩 el lanzamiento de una serie de “pruebas de intrusi贸n de white box, mejorando su actual programa de recompensas por bugs鈥.


Ilustraci贸n: Fotograma, canal de Zoom en Youtube


Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.