Zoom busca ser más segura gracias a la compra de Keybase

Gonzalo Álvarez Marañón    12 mayo, 2020

El confinamiento decretado como medida excepcional para frenar la expansión del COVID-19 ha forzado a millones de personas en empresas, centros educativos y hogares a interactuar virtualmente. Empujados a usar apps de videollamada grupal para el trabajo, para las clases o simplemente para estar en contacto con familiares y amigos, los usuarios se enfrentaron al difícil reto de elegir qué app utilizar.

Típicamente, el criterio imperante a la hora de decantarse por una u otra es la popularidad o la gratuidad, sin pensar dos veces en la seguridad o la privacidad. A fin de cuentas, si es gratis y “la usa todo el mundo”, ¿para qué darle más vueltas? Para bien o para mal, la app más favorecida por el público resultó ser Zoom. Semanas después de iniciarse la cuarentena, sigue a la cabeza de la lista de las apps gratuitas más descargadas tanto para iOS como para Android, con la fabulosa cifra de 300 millones de usuarios diarios.

Como es bien sabido, cuanto más popular se vuelve un programa o aplicación, más atrae a los cibercriminales. Tal vez su éxito arrollador no se lo imaginaba ni la propia empresa Zoom o tal vez no se tomaron la seguridad en serio desde sus inicios, pero lo cierto es que llegaron a la graduación con los deberes sin hacer.

Los tres grandes golpes a la seguridad de Zoom

Entre los numerosos problemas y escándalos de seguridad y privacidad, destacaron tres en especial:

  1. Zoombombing: Este ataque consiste en irrumpir en una sala de Zoom y compartir la pantalla con imágenes de violencia extrema, pornografía o cualquier otra forma de troleo. El zoombombing se popularizó en escuelas y universidades, lo que obligaba a suspender las clases. Muchas instituciones educativas llegaron a prohibir el uso de Zoom en favor de otras aplicaciones. Zoom aprendió la dura lección e implantó numerosas medidas para combatir el zoombombing: contraseñas obligatorias, bloqueo de sesiones, expulsión de participantes, funcionamiento restringido de la pantalla compartida y del chat, icono de seguridad más visible, etc. También publicó una guía de buenas prácticas para proteger las aulas virtuales.
  2. Compartir datos con Facebook: Al igual que otro millón de apps, Zoom en iOS utiliza un SDK de Facebook para permitir a sus usuarios iniciar sesión mediante su cuenta de Facebook, lo que se conoce como login social. Este SDK recopila algunos datos sobre los usuarios, como modelo de dispositivo, versión de la app u operadora de telefonía, y los envía a los servidores de Facebook, incluso aunque no tengan cuenta en Facebook y, por tanto, no lo usen para iniciar sesión. No se sabe qué hace Facebook con esta información, pero en respuesta a las numerosas quejas, Zoom eliminó por completo el SDK de Facebook.
  3. Falsas alegaciones sobre el cifrado de extremo a extremo seguro: Zoom aseguraba en su página web estar usando cifrado de extremo a extremo en sus conexiones, pero resultó que en realidad usaban cifrado TLS para cifrar las comunicaciones entre los clientes y los servidores, lo que implica que los servidores de Zoom tienen acceso a todas las videollamadas. La empresa no tuvo más remedio que retractarse: «A la vista del reciente interés en nuestras prácticas de cifrado, para empezar, queremos pedir disculpas por la confusión que hemos causado al dar a entender erróneamente que las reuniones de Zoom eran capaces de usar cifrado de extremo a extremo».

Plan de seguridad de 90 días

Con el ánimo de recuperar su imagen y su base de usuarios, el 1 de abril Zoom sorprendió con un plan de seguridad de 90 días. Como parte de este plan, el 8 de abril, Zoom creó un comité de seguridad integrado por algunos CISOs muy destacados. El mismo día contrató al conocido experto en ciberseguridad de Stanford Alex Stamos, ex-CISO de Facebook, como asesor de seguridad para revisar su plataforma.

El 27 de abril lanzó Zoom 5.0, con soporte para cifrado con AES-GCM con claves de 256 bits. Pero (y este es un gran “pero”) las claves de cifrado para cada reunión las generan los servidores de Zoom. Es decir, un cibercriminal no puede espiar una conversación entre dos usuarios, pero Zoom sí, si así lo quisiera.

En cambio, otros servicios como Facetime, Signal o WhatsApp sí que utilizan cifrado de extremo a extremo verdadero: nadie más que los dos usuarios a ambos extremos de la comunicación pueden ver su contenido porque son ellos mismos quienes generan las claves de cifrado. En consecuencia, ni los cibercriminales ni los servidores de la empresa proveedora del servicio pueden espiar las conversaciones.

Sin el cifrado de extremo a extremo, Zoom podría verse obligada a entregar registros de las reuniones a un gobierno en respuesta a solicitudes legales. Estas peticiones ocurren todo el tiempo en todo el mundo. De hecho, empresas como Apple, Google, Facebook y Microsoft publican informes de transparencia detallando cuántas solicitudes de datos de usuarios reciben de qué países y cuántas de ellas atienden. Sin embargo, Zoom no publica semejantes informes de transparencia.

El cifrado extremo a extremo de Keybase que Zoom busca para sus videollamadas

Sobre el papel, el cifrado extremo a extremo parece sencillo: los clientes generan las claves efímeras de sesión y se las intercambian cifrándolas con la clave pública del destinatario. Por desgracia, generar y gestionar todas estas claves para ofrecer cifrado de extremo a extremo escalable en videollamadas de alta calidad con docenas de participantes y más de 300 millones de usuarios conectándose diariamente a sus servidores constituye un reto tecnológico formidable. Por eso Zoom acudió a Keybase.

El 7 de mayo, compró la empresa de mensajería y transferencia de archivos con protección criptográfica extremo a extremo, Keybase.io, por una cantidad no revelada. Con su ayuda, Zoom espera ofrecer un modo de reunión cifrado de extremo a extremo. Eso sí, sólo para las cuentas de pago.

Además, como declaran en su comunicado:

  • Seguirán colaborando con los usuarios para mejorar los mecanismos de información de que disponen los anfitriones de las reuniones para informar sobre los asistentes no deseados y problemáticos.
  • Zoom no supervisa ni supervisará proactivamente el contenido de las reuniones, pero su equipo de seguridad seguirá utilizando herramientas automatizadas para buscar pruebas de usuarios abusivos basándose en otros datos disponibles.
  • Zoom no ha construido ni construirá un mecanismo para descifrar las reuniones en vivo con fines de interceptación legal.
  • Tampoco tienen un medio para insertar a sus empleados u otras personas en las reuniones sin que aparezcan reflejadas en la lista de participantes. No construirán ninguna puerta trasera criptográfica para permitir la vigilancia secreta de las reuniones.

En definitiva, Zoom se compromete a permanecer transparente y abierta mientras construye su solución de cifrado de extremo a extremo. De hecho, planea publicar un borrador detallado del diseño criptográfico el viernes 22 de mayo.

Cómo queda Zoom tras la compra de Keybase

La reacción de Zoom ha sido admirable. Lejos de negar las críticas o demandar a los investigadores que hallaran sus vulnerabilidades, Zoom respondió con un ambicioso plan de seguridad de 90 días cuyo Santo Grial será el cifrado de extremo a extremo provisto por Keybase.

Zoom tomó decisiones de seguridad equivocadas en el pasado, pero parece claramente resuelta a convertirse en la app de videollamadas más potente y segura del mercado. Está demostrando cómo con autocrítica y transparencia resulta posible salir fortalecido de una grave crisis de seguridad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *