Guías y Mejores prácticas

Problemas de privacidad reportados en Zoom

La emergencia sanitaria por el brote de COVID-19 que obligó a los empleados a trabajar desde casa, generó que una gran cantidad de nuevos usuarios migraran a Zoom. Por tanto, se vuelve importante dar conocimiento sobre los problemas de privacidad reportados en la aplicación.

Al revisar la política de privacidad y algunos de sus documentos de soporte, rápidamente se descubre que Zoom le permite al anfitrión de la llamada rastrear la atención de los asistentes, así como proporcionar información personal del usuario a terceros.

Zoom sabe si está prestando atención a la llamada
Existe una función de Zoom que da seguimiento de la atención de los asistentes de Zoom y alerta al anfitrión cada vez que alguien en la llamada «no tiene el Zoom Desktop Client o la aplicación móvil en foco por más de 30 segundos». En otras palabras, si está en una llamada de Zoom y hace clic fuera de Zoom, se notificará al anfitrión de la llamada después de 30 segundos, independientemente de si se minimizó Zoom para tomar notas, revisar el correo electrónico o responder una pregunta en otra aplicación.
Esta función solo funciona si alguien en la llamada comparte su pantalla.
Si el anfitrión decide grabar la llamada para que se pueda reproducir más tarde, Zoom guarda un archivo TXT de los mensajes de chat de la reunión y lo comparte con su jefe. Según su página de soporte sobre el tema, «el chat guardado solo incluirá mensajes del anfitrión y panelistas a todos los participantes». Sin embargo, no aclara qué sucederá con los mensajes directos entre los asistentes.

La recopilación y el intercambio de datos de Zoom
De acuerdo con la política de privacidad de la empresa, Zoom recopila una gran cantidad de datos sobre usted, incluidos su nombre, dirección física, dirección de correo electrónico, número de teléfono, cargo, empleador. Incluso si no crea una cuenta con Zoom, recopilará y mantendrá datos sobre el tipo de dispositivo que está utilizando y su dirección IP. También recopila información de su perfil de Facebook (si usa Facebook para iniciar sesión) y cualquier «información que cargue, proporcione o cree mientras usa el servicio».
Para resumir la política de Zoom, dicen que no venden datos personales por dinero a terceros, pero sí comparte datos personales con terceros para el «negocio» de esas compañías lo que puede incluir información personal de Google.

Bug de hacking de la cámara
En el 2019 el consultor de seguridad Johnathan Leitschuch descubrió que Zoom configuró un servidor web local en el dispositivo MAC de un usuario que permitía a Zoom eludir las funciones de seguridad en Safari 12. Este servidor web no se mencionaba en la documentación oficial de Zoom. Se utilizó para omitir una ventana emergente que Safari 12 mostraría antes de encender la cámara de su dispositivo.
El servidor web remoto no estaba adecuadamente protegido, por lo que casi cualquier sitio podía interactuar con él. Por tanto, Zoom permitió que sitios web maliciosos tomaron control de la cámara web de los usuarios MAC sin previo aviso. Este problema fue solventado en una versión posterior (finales de julio de 2019) del software Zoom.

¿Qué hacer para proteger sus datos?
A medida que Zoom se convierte en una herramienta de uso común para videoconferencias ante la emergencia por COVID-19, hay algunos pasos que se pueden seguir para mantener los datos seguros.

  • Usar dos dispositivos durante las llamadas de Zoom: si se atiende una llamada de Zoom en la computadora, se recomienda usar el teléfono para revisar correo electrónico o chatear con otros asistentes de llamadas. De esta manera, no activará la alerta de seguimiento de atención.
  • No usar Facebook para iniciar sesión: puede ahorrar tiempo, pero es una práctica de seguridad deficiente y aumenta drásticamente la cantidad de datos personales a los que Zoom tiene acceso.
  • Mantener actualizada la aplicación Zoom: Zoom eliminó el servidor web remoto de las últimas versiones de sus aplicaciones. Si se descargó Zoom recientemente, no hay necesidad de preocuparse por esta vulnerabilidad específica.

Referencias:

  • https://securityboulevard.com/2020/03/using-zoom-here-are-the-privacy-issues-you-need-to-be-aware-of/.
  • https://www.insidehook.com/daily_brief/tech/zoom-privacy-concerns
  • https://www.theverge.com/2020/1/28/21082331/zoom-vulnerability-hacker-eavesdrop-security-google-hangouts-skype-checkpoint