Rossibel:
Año 1994, un joven matemático de la provincia China de Shandong de
nombre Eric Yuan que hacía vida en Japón, tuvo la oportunidad de
escuchar una conferencia de Bill Gates. Esto lo inspiró a emigrar a
Silicón Valley en 1997.
Cuando finalmente pudo llegar a los Estados Unidos se unió rápidamente
como programador a una startup de videoconferencias llamada Webex,
está se convertiría en uno de los protagonistas del mercado, tanto así
que en 2007 sería adquirida por Cisco Systems por 3,2 Billones de $.
Yuan siguió trabajando en la compañía hasta llegar a Vicepresidente de
Ingeniería. Bajo su mando Webex alcanzó ventas anuales de 800M.
La aplicación comenzaría a tener muchos problemas, la conexión era
inestable, el audio y vídeo podían retrasarse. Yuan consciente de
estos problemas y con una visión de crear una aplicación útil también
para móviles y tabletas, presionó a sus superiores para implementar de
inmediato estos cambios.
Pero su proyecto fue rechazado. Yuan decide renunciar en 2011 y fundar
su propio negocio ¿Cómo lo llamo? ZOOM! Por suerte no estaba solo,
muchos de los ingenieros de Webex se fueron con él y además, tuvo la
confianza de varios inversionistas, lo que le permitió levantar 3M $.
Antes de irse, comentó que pasó mucho tiempo comunicándose con los
clientes de Webex y con todas las quejas, formó una dirección, las
resumió todas dedicándose a crear una app que las resolviera.
En dos años, para enero de 2013, lanza la primera versión siendo un
éxito inmediato, en dos meses ya contaba con 1 millón de usuarios
-Funcionaba en conexiones lentas -Videoconferencias en HD -Versión
para dispositivos móviles. Todo esto por un precio inferior a la
competencia.
Ya en abril de 2019 se convierten en una empresa pública, con una
valoración de 16 Billones $. Lo demás es historia, en tan solo 14
meses gracias al incremento en la demanda debido a la pandemia
alcanzan los 63 Billones $. Y desde inicio de año sus acciones se han
apreciado 205%.
Pero… ¿Realmente Zoom es una aplicación segura?
¿Estará Yuan realmente preparado para el desafío de otorgar seguridad
en las comunicaciones de más de 300 millones de usuarios activos?
¿Es la mejor aplicación en este momento para llamadas de conferencia?
Mi nombre es Rossibel García y en este episodio estaremos analizando
la trayectoria de esta aplicación y sus temas de Seguridad y
Privacidad… Te invito a que te quedes y resolvamos todas estas dudas.
Jean: Bienvenido una vez más a este Podcast Tecnológico llamado
Conciencia Virtual, mi nombre es Jean Carlos Gutierrez y estoy aquí
acompañado de Rossibel, quienes juntos estaremos analizando si es
seguro o no conectarse en la aplicación ZOOM. Hola Rossi, como estas?
Has hecho un trabajo Genial con ese resumen histórico de Eric Yuan.
Rossibel: aproveché estos días en cuarentena para investigar (Saludo a tu gusto y respuesta de la interacción) así que los invitamos a que se pongan cómodos para que disfruten de este nuevo episodio.
Jean que te parece si hablamos de la decisión oficial por
parte de Eric sobre aplicar cifrado end 2 end para todos los usuarios,
rectractandose de la idea que solo el cifrado seria para las cuentas
de pago.
Jean: ¿Supiste la razón por la que se retractaba?
Rossibel: Bueno Jean, desde el propio blog informaban que solo las
cuentas pago iban a recibir el cifrado, y que si
habían conversaciones privadas, podrían abrirlas en “caso de ser
necesario” si sospechaban que las cuentas estarían implicadas en
actividades delictivas.
Jean: Aquí volvemos con el tema Privacidad vs Seguridad, pero OJO no
estoy refiriéndome a la Seguridad de la aplicación porque ha estado
muy insegura últimamente, sino la excusa que ofrecen los Gobiernos del
mundo que quieren espiar a sus usuarios, diciendo que es por Seguridad
Nacional.
Para mi esto es solo un simple pretexto que tiene la empresa para
decirte: Si estas en desde la opción gratuito, te sacaré el dinero con
tus datos personales. Porque para que ibas a descartar a tus usuarios
de cuentas gratuitas al cifrado si en menos de un mes decías
públicamente que ibas a implementar Oracle Cloud Infrastructure para
respaldar el crecimiento y satisfacer la necesidades de los usuarios.
Los usuarios claramente te están pidiendo mejor privacidad y tú
seguías sin querer otorgárselas.
Rossibel: Jean, tengo entendido que esa función es para mejorar la
demanda. Es decir la capacidad de usuarios ya superaba de manera
significativa para con los servidores que estaban usando desde ese
momento.
Jean: Eso es totalmente cierto, pero yo también tengo otra hipótesis con ello.
Eric viene jugando al CEO que le gusta complacer a Gobiernos,
Rossibel: (forma de interrupción) Jean, algo que debemos considerar al analizar esto, es que ha sido prohibido su uso desde El Ministerio de Defensa del Reino Unido, Servicio Nacional de Salud del mismo, Gobiernos como la India o
Taiwan, Ministerio de Defensa de Australia, el Ministerio de Asuntos Exteriores de
Alemania, escuelas de Singapur, sin contar empresas estadounidenses
como SpaceX, Tesla, Bank of America, empresas Europeas como Siemens
AG, Ericsson, Daimler AG, Standard Chartered, NXP Semiconductor NV y
la filipina Smart Communications.
Jean: Todo eso es cierto. Y todo era porque de sus 73 Servidores de
conexión 5 de ellos estaban ubicados en China y no solo tenían la
posibilidad de compartir a ti como usuario las claves que necesitabas
para entrar en una llamada de ZOOM con X persona, sino que también
existía posibilidad que en esos servidores también pasara trafico de
esa llamada y para nadie es un secreto que China en ocasiones les
exige a las empresas las llave de cifrado y si tu les das ese
contenido entonces ellos podrían saber lo que estaba pasando en esa
conversación.
Cuando estas empresas y países se enteran de esto, claro que deciden
prohibirlo. Cualquiera en su sano juicio habría pensando en lo mismo.
Pero hace ratico te decía que Eric juega a complacer Gobiernos, si tu
como usuarios decides no usar la app porque tienes claro que algunas
de sus llamadas pasan por servidores Chinos y luego como dueño de la
empresa te anuncio que me estoy uniendo a Oracle, es para justo
decirte, vente de nuevo, estoy de moda, ya estoy cumpliendo con tus
requisitos de usuario.
Dejándote dicho que también han realizado censuras desde la propia app
indicando que estaban cumpliendo con las leyes locales de China.
Para mi este CEO va procurar complacer a todos los que puedan, siempre
y cuando para mantenerse en el mercado del país y segundo para estar
activo en todos los países posibles.
Rossibel: ¿Entonces bajo tu opinión el que se haya aplicado el cifrado
es solo para complacer a la audiencia y seguir creando la confianza,
en vez de mejorar en la Seguridad de la aplicación para que sea lo menos
atacada posible?.
Jean: Rossi, cuando esta aplicación fue utilizada desde el
confinamiento, esta aplicación se conectaba con las Api Grafica de
Facebook. Entonces ZOOM recolectaba de ti (usando o no la aplicación)
datos como: usuario, nombre completo, dirección física, correo
electrónico, numero telefónico y todo tipo de datos que pudiera
identificarte, sin contar información de tu trabajo, tarjetas de
crédito y débito, información de tus cuentas de Facebook, tanto la
personal como Fanpage y demás servicios que utilizaras de esa empresa.
Como te estabas conectado, IP, Mac Address, Sistema Operativo, la
versión.
Todo esto era enviado a Facebook y a su vez esta empresa los usaba
para cruzar la data y al administrador de la llamada podía indicarle
donde estabas, si estabas prestando o no atención a la reunión porque
indicaba si la ventana esta activa o no, es más podías entrar a la
sala de modo Anónimo y el Admin podía claramente saber que eras tu.
Todo esto lo expuso en su momento Will Strafach un Investigador de IOS
y cuando soltó la Bomba, lo que hizo ZOOM fue decir: Nosotros
estábamos usando la SDK de Facebook y no teníamos idea de la
información innecesaria que estaba recopilando de nuestros usuarios,
esas herramientas solo la usábamos para facilitar al usuario el
ingreso a nuestra plataforma. Actualmente eliminando todo eso para que
luego tu actualizando la aplicación ya no tengas ese problema. Pedimos
disculpas y estamos comprometidos en la Seguridad de nuestros
usuarios.
Rossibel: Si, recuerdo ese hecho, es más en esos mismos tiempos,
veíamos en las noticias, como podías secuestrar una sala en
particular, a modo administrador y enviar material pornográfico a
todos los integrantes de esa reunión.
Claro ese no seria el único problema de Seguridad que tendría.
Patrick Wardle, un ex-hacker de la NSA descubrió que un atacante local
con privilegios de usuario de bajo nivel puede inyectar al instalador
de Zoom código malicioso para obtener el nivel más alto de privilegios
de usuario ("root")
Jean: Esos privilegios significan que el atacante puede acceder al
sistema operativo macOS subyacente, que generalmente está prohibido
para la mayoría de los usuarios, lo que facilita la ejecución de
malware o spyware sin que el usuario lo note.
Rossibel: ahora, ¿qué otras fallas y vulnerabilidades has podido notar en esta aplicación?
Jena: El segundo error explotaba una falla en cómo Zoom manejaba
la cámara web y el micrófono en Macs. Wardle dijo que un atacante
podía inyectar código malicioso en Zoom para engañarlo y darle al
atacante el mismo acceso a la cámara web y al micrófono que Zoom ya
tiene. Una vez que se carga el código malicioso, "heredará
automáticamente" alguno o todos los derechos de acceso de Zoom.
También las vulnerabilidades recientemente parcheadas
En una que aprovechaba la forma como se utilizaba el servicio GIPHY
(buscador de gifs) donde no se confirmaba si el archivo a compartir
provenía de ese servicio y a su vez tampoco verificaba el nombre del
archivo entonces el atacante podría hacerte llegar un gif infectado de
un servidor tercero y hasta almacenarlo en tu carpeta de inicio.
Y la otra vulnerabilidad era aprovecha la forma como enviaba ZOOM
fragmentos de códigos, permitiendo al atacante plantar binarios
arbitrarios en computadoras especificas, logrando la ejecución de
código remota.
Jean: Ahora, Rossi, si un usuario necesita usar la aplicación de Zoom luego de todo lo que te he comentado
¿Que recomendaciones le darías para estar seguro en la
aplicación?
Rossibel: Eso es algo que deberías de decir tú! Pero yo también las
conozco. Tú me vas diciendo si voy bien o no!
1. ¡Agregar una contraseña a todas las reuniones!
2. Usar salas de espera
3. Nunca compartir el ID de reunión por medios públicos
4. Desactivar el uso compartido de la pantalla del participante
5. Bloquear reuniones cuando todos se hayan unido
6. Mantener Zoom actualizado
7. Usar la autenticación multifactor (MFA)
Pero ajá Jean, no has dicho si es preferible usar ZOOM o no?
Jean: En realidad es una decisión final del usuario. Yo te podría
decir ahora mismo que la historia que hemos comentado se parece
MUCHÍSIMO a la historia de Whatsapp y no necesariamente el usuario
tomaría la decisión de irse a otra plataforma. Y eso es por la
cantidad de usuarios activos que hay en la plataforma.
Si fuera así entonces ahora mismo Signal seria la aplicación de
mensajería más usada por ser públicamente más segura. Algo que intenta
ahora mismo mostrar ZOOM al liberarte en la plataforma de Github el
código con el que esta cifrando su aplicación
Rossibel: Pero Jean y liberando su código ¿No hace que la app sea más
insegura? Ya que otros usuarios pueden ver como funciona y con ello
atacar.
Jean: El que otros usuarios puedan usar ese código para tratar de crear
nuevas maneras de atacar, también te puedo decir que la comunidad
puede ayudar a mejorar ese código, creando confianza en
desarrolladores y comunidad que a su vez ayuda mucho a los usuarios
finales.
Rossibel: Claro, Claro! Pero si con todo lo que hemos comentado hoy,
sabiendo que ZOOM sigue haciendo cambios en pro para liberarse de
vulnerabilidades y hasta de prohibiciones en diferentes países, ¿qué
aplicación podrías recomendar distinta a ZOOM para hacer videollamadas
grupales?.
Jean: Que yo pueda decirte, esta es la más segura en realidad no lo
puedo hacer, porque hoy te puedo recomendar una y mañana sale una
vulnerabilidad que la afecta. Hay muchas aplicaciones, Skype,
Microsoft Teams, Cisco Webex, Facetime, Google Meet, Google Duo, menos
conocidas como: BlueJeans, Zoho, Lifesize, Intermedia AnyMeeting,
GoToMeeting, RingCentral Meetings, entre otras y solo tu decides cual
cumple tus expectativas de Seguridad.
Rossibel: Estoy seguro que todas estas recomendaciones serán de gran utilidad para muchos, ha sido un episodio más que completo.
En el siguiente aprenderemos a como mejorar nuestras contraseñas ya que ha
sido una de las recomendaciones hechas.
Jean: Pueden encontrarnos en redes sociales como:
Rossibel: www.facebook.com/concienciavirtual
Jean: En instagram como @concienciavirtual
Rossibel: y en Twitter como @concienciavirt
Jean: Para contenidos similares como este puedes irte a la Liga.Fm en
donde encontrarás podcast amigos.
Rossibel: de este lado nos despedimos. Quienes te acompañamos en este viaje para geeks y no tan geeks, Jean Carlos Gutierrez y Rossibel García. Seguiremos compartiendo mas conciencia virtual.
Jean: y no me queda más nada que decir que: Un Saludo y un Abrazo Virtual.