Razones para NO usar ZOOM

El especialista en seguridad informática Javier Smaldone junto a su hermana Carla Smaldone realizaron un documento en el cuál detallan las vulnerabilidades y riesgos al utilizar la plataforma de videoconferencias ZOOM, a la vez que proponen una lista de alternativas que puedan suplir la necesidad de establecer comunicaciones seguras y transparentes en este tiempo de pandemia.

A continuación, el documento en cuestion:

Zoom Video Communications

Vulnerabilidades, riesgos y alternativas

Carla Smaldone – Javier Smaldone 

Resumen 

Al advertir los riesgos que presenta el uso de la plataforma de videoconferencias Zoom, muy utilizada en instituciones educativas argentinas para el dictado de clases con modalidad on-line, el objetivo del presente informe es desalentar su uso, proponiendo a cambio una serie de alternativas. Entendemos la importancia del acceso a estas herramientas en el contexto de la actual situación sanitaria, pero el mismo debe realizarse de manera segura, para poder seguir brindando educación de calidad y acompañamiento en estas circunstancias extraordinarias sin poner en riesgo la privacidad ni la intimidad de la comunidad educativa.

Vulnerabilidades y riesgos

La aplicación de videoconferencias Zoom tiene un pobre historial de seguridad y de respeto por la privacidad de sus usuarios. A continuación detallaremos los casos más notables hasta la fecha.

• En julio de 2019 se descubrió que al desinstalar Zoom en sistemas macOS (Apple), un componente volvía a instalarse silenciosamente, y luego podía permitir que al acceder a un sitio web este tomara control de la cámara. Se calcula que esta vulnerabilidad afectó a más de 4 millones de computadoras en 750.000 empresas. 

• La función de detección de atención de los participantes en una videoconferencia implicaba la ejecución de un componente de software en el sistema de cada usuario, que monitoreaba e informaba a Zoom cada proceso que se ejecutaba en el mismo. Esta funcionalidad fue removida, luego de numerosas críticas y advertencias, el 1 de abril de 2020.

• En su documentación oficial, Zoom decía que las comunicaciones de audio y video estaban cifradas «de extremo a extremo», siendo imposible descifrarlas en el camino intermedio entre los usuarios (específicamente, en los servidores de la empresa Zoom). Esto fue demostrado falso, y fue reconocido por Zoom como un error en la documentación.

• En marzo de 2020 se descubrió que la versión de Zoom para iOS (iPhone) enviaba datos del usuario a Facebook. Esto fue reconocido por la empresa como un error.

• En abril de 2020 se descubrieron vulnerabilidades que podrían comprometer credenciales (cuentas) de usuarios de Windows y también fue hecha pública otra vulnerabilidad que podría comprometer la cámara y el micrófono.

• También en abril de 2020 se descubrió que Zoom enviaba el tráfico de algunas videoconferencias a través de servidores ubicados en China. Esto fue reconocido luego por la empresa como un error.

• También en abril de 2020, se descubrió que Zoom identificaba a algunos usuarios y extraía sus datos personales de la red LinkedIn, sin su conocimiento. Esto fue reconocido por la empresa, con la promesa de abandonar esta práctica.

• Se ha reportado que dos vulnerabilidades desconocidas (ataques 0-day), que afectan tanto a Windows como a MacOS, se encuentran a la venta por US$500.000 en el mercado negro
  
  

Casos de prohibición

Algunos gobiernos, organizaciones gubernamentales y no gubernamentales, y empresas que han dejado de usar Zoom a la fecha son:

• En los Estados Unidos, Google y SpaceX han prohibido a sus empleados usar Zoom.
• En Alemania, Siemens y el Standard Chartered Bank han prohibido a sus empleados usar Zoom.
• Fuerzas Armadas Australianas.
• Ministerio de Relaciones Exteriores de Alemania.
• Gobierno de Taiwán.
• Departamento de Educación de la ciudad de New York.
• Agencia Espacial de los Estados Unidos (NASA).

Además el Fiscal General de New York ha iniciado una investigación por el manejo de datos privados y las prácticas de seguridad de Zoom, en tanto que un ciudadano estadounidense presentó una demanda federal contra la empresa por violación de la privacidad.

Alternativas

• Jitsi Meet: https://meet.jit.si/ (Usuarios: límite de 75. Permite grabar y guardar las clases. Puede descargarse e instalarse en servidores propios).
• Jitsi Meet (alojado en ARSAT): https://jitsi.dcarsat.com.ar/  (Usuarios: ilimitado, restringido momentáneamente a instituciones sanitarias. Permite grabar y guardar las clases).
• Microsoft Teams: https://www.microsoft.com/es-es/microsoft-365/blog/2020/03/05/our-commitment-to-customers-during-covid-19/   (Usuarios: ilimitado. Permite grabar y guardar las clases en la plataforma)
• Cisco Webex Meetings: https://www.webex.com/es/video-conferencing.html (Usuarios: límite de 100).
• Skype Meet: https://www.skype.com/en/free-conference-call/ (Usuarios: limite de 24).
• Google Classroom: https://classroom.google.com/u/0/h?hl=es (Usuarios: ilimitado. Permite subir las clases).
• Meet Google: https://meet.google.com/  (Usuarios: límite de 250. Permite grabar y guardar las clases. Requiere una cuenta de G Suite para crear la sala).
• Youtube Live: https://www.youtube.com/ (Disponible al público en general. Permite grabar y guardar las clases en la plataforma). Para posibilitar múltiples expositores, puede utilizarse Streamyard: https://streamyard.com/ 
• Hangouts de Google: https://hangouts.google.com/ (Usuarios: límite de 25).
• Google Duo: https://duo.google.com/about/ (Usuarios: límite de 12).

link del documento original: https://docs.google.com/document/d/1UWDvBO0bq2p-bH4-1RRrYvVdxZ-IhPSqrrGbrpKdZ_A/edit?fbclid=IwAR2o7UfwicRWg7qcuh22Weq3Yudf5p40zrsDu_DMsh87D_TRiqp7VkZ13i0#