Zoom no admite cifrado de extremo a extremo durante reuniones en línea

Zoom Doesn't Support End-to-End Encryption During Meetings

El martes, el primer ministro del Reino Unido, Boris Johnson, publicó un tweet con el que mostró a sus seguidores cómo funciona su gabinete durante la crisis causada por el nuevo coronavirus. La foto mostraba una reunión en línea entre el primer ministro Johnson y sus colegas, y su objetivo era simple: asegurar a la nación que incluso en estos tiempos terribles, los políticos del Reino Unido continúan trabajando por el bien de todos. Para algunas personas, probablemente hizo su trabajo como un refuerzo de la moral. Entre la comunidad de seguridad, sin embargo, levantó algunas cejas.

La captura de pantalla muestra que el principal órgano rector del Reino Unido se comunica a través de Zoom, una plataforma de videoconferencia que ha experimentado un aumento de uso masivo gracias a los millones de personas que actualmente trabajan desde casa. Como solución de videoconferencia, Zoom es bastante sólido, pero los especialistas en seguridad pensaron que una organización tan importante como el gobierno del Reino Unido probablemente usaría algo personalizado y adaptado a sus necesidades. Lo segundo que notaron los especialistas en seguridad de la información fue que la identificación de la reunión de Zoom era claramente visible en el tweet de Boris Johnson, lo cual no es realmente una muy buena idea, especialmente cuando los asuntos discutidos durante la reunión son tan delicados. Luego, la gente comenzó a hurgar en los materiales de marketing de Zoom, y las cosas empeoraron.

Las reuniones de zoom no se pueden cifrar de extremo a extremo en este momento

También el martes, The Intercept publicó un informe sobre una de las opciones que Zoom ofrece a sus usuarios, y los políticos y las personas a cargo de las grandes organizaciones probablemente deberían leerlo detenidamente.

Al crear una reunión de Zoom, un usuario puede habilitar el "cifrado para puntos finales de terceros". Si lo hacen, se les informará a los participantes que la reunión está encriptada de extremo a extremo. El informe técnico de seguridad que Zoom ha publicado en su sitio web también sugiere que este tipo de cifrado es posible para las reuniones, pero la investigación de The Intercept reveló que esto simplemente no es cierto.

Las reuniones de video con zoom están encriptadas, pero la encriptación no es de extremo a extremo. En cambio, el video y el audio pasan a través de una conexión TLS normal o de Seguridad de la capa de transporte. Es la misma tecnología que usan los sitios web y las aplicaciones cuando sirven contenido a través de HTTPS. La Intercepción contactó a Zoom para obtener comentarios, y un portavoz admitió que debido a limitaciones tecnológicas, el cifrado de extremo a extremo solo está disponible para los chats que pasan por la plataforma. Pero, ¿qué significa eso realmente para las personas que usan el servicio?

¿Cómo afecta la falta de cifrado de extremo a extremo a los usuarios?

Las aplicaciones de mensajería como WhatsApp y Telegram no evitarán promocionar el uso del cifrado de extremo a extremo y sus beneficios de privacidad. La principal ventaja de la comunicación cifrada de extremo a extremo es que, aunque la información pasa a través de los servidores del proveedor de servicios, el proveedor de servicios en sí no tiene los medios para descifrarla.

En el caso de Zoom, gracias a TLS, las reuniones están protegidas de cualquier persona que detecte la transmisión de audio y video mientras viaja entre los dispositivos de los usuarios y los servidores de Zoom. Sin embargo, cuando está en los servidores, los empleados de Zoom pueden descifrarlo teóricamente. ¿Lo van a hacer?

Los organismos encargados de hacer cumplir la ley pueden pedirle a la plataforma de conferencias en línea que divulgue datos sobre individuos particulares, pero la probabilidad de que esto se vea afectado no es tan grande. La falta de encriptación de extremo a extremo es ciertamente un problema para políticos como Boris Johnson, pero para la mayoría de las personas que actualmente trabajan desde casa, no debería ser un gran problema. Sin embargo, lo que es un problema es el intento inicial de Zoom de minimizar el error.

Después de que se les preguntara qué causó esta confusión, un portavoz de Zoom dijo a The Intercept que por "encriptación de extremo a extremo", querían decir que los datos están encriptados en todos los diferentes "puntos finales de Zoom" y por "puntos finales". significaba los dispositivos de los usuarios. Este tipo de interpretación liberal de conceptos bien definidos no es realmente aceptable, especialmente cuando se tiene en cuenta que la plataforma de la que estamos hablando es utilizada por los gobiernos de algunas de las superpotencias mundiales. Finalmente, Zoom se dio cuenta de que no se estaba haciendo ningún favor, y ayer, publicó una publicación de blog con la que admitió que dejó que su equipo de marketing se dejara llevar. Los desarrolladores de la plataforma se disculparon por la confusión, y ahora depende de Boris Johnson y millones de otros usuarios de Zoom decidir si aceptan la disculpa. Mientras lo hace, Johnson también podría pensar en las precauciones de seguridad cibernética que toma su gabinete durante la organización de sus reuniones en línea.

April 2, 2020

Deja una respuesta