Últimamente estamos leyendo y escuchando por diferentes medios que la aplicación Zoom tiene problemas de seguridad y se desaconseja su uso. Vamos a analizar qué hay de cierto
en esta información y si esos consejos tienen fundamento.

Las noticias vienen de diferentes fuentes, pero las 3 más extendidas son:
1. La Guardia Civil por Twitter desaconseja usar Zoom.
2. Grandes empresas como Google o Apple que prohíben su uso a sus trabajadores.
3. Una nota de voz de Whatsapp nos avisa de que usando Zoom les han robado 19.000€.

Analicemos cada una de ellas:

1. A principios del mes de abril recibimos una comunicación por Whatsapp de lo que
parece es un comunicado de la Guardia Civil:

En este documento nos pide que “eliminéis las cuentas” y que “desinstaléis la
aplicación”, pasando a decirnos que usemos “otra plataforma”.

Afortunadamente nos deja un enlace al Twitter oficial de la Guardia Civil donde
podemos leer esto:

El Grupo de Delitos Telemáticos (GDT) de la Guardia Civil lo deja claro: #NiCaso

2. Empresas como Google, Apple o Facebook no quieren que sus empleados usen Zoom, nos cuenta el diario El Mundo, pero sí adaptan el interface de sus aplicaciones competencia de Zoom a un diseño similar.

Esto hay que entenderlo como una estrategia empresarial, no únicamente por la falta de seguridad que pueda existir, sino más bien por la necesidad de captar parte de los 200 millones de usuarios que tiene actualmente Zoom. Es decir, Google tiene Hangout Meet, Apple tiene FaceTime y Facebook tiene Messenger, es lógico que deseen “captar” una buena parte de los clientes de Zoom, empezando por sus propios empleados.

No se puede recriminar a estas empresas que tomen decisiones como éstas, pero el hecho de que lo hagan en un momento crítico para Zoom hace que muchos usuarios se replanteen cambiar de plataforma, sin criterios objetivos.

Dándole la vuelta a la noticia, resulta paradójico que los propios trabajadores de estas empresas, aun disponiendo de aplicaciones similares a Zoom desde hace años, decidan usar Zoom.

3. Justo a la vez que las noticias anteriores nos llega al Whatsapp una nota de voz que nos estremece: a una familia le han robado mediante medios telemáticos la friolera de 19.000 euros y culpa a “Google Zoom” de todo ello. Analizando detenidamente lo que nos cuenta vemos que contiene datos algo confusos, que posiblemente sean fruto del estado de nervios, y hacen que pongamos en duda el procedimiento seguido por el atacante para conseguir su botín.

El desconocimiento de las herramientas usadas por la familia, como la denominación de la aplicación, nos hacen pensar que posiblemente la aplicación instalada no sea la original de Zoom, sino otra parecida camuflando un troyano que permite a atacantes tomar el control del móvil y de la cuenta bancaria.

Resulta muy sospechosa la facilidad con la que parece que los atacantes son capaces de cambiar o anular un número de móvil (no uno: ¡cuatro!); y las pocas barreras que encuentran para transferir fondos, cosa que con la nueva normativa bancaria es realmente complicado hacer si no dispones del dispositivo físico, si no puedes recibir mensajes y si no sabes la clave especial de transferencia. Por eso el propio BBVA descarta que exista una relación entre la aplicación oficial de Zoom y los fraudes:

En resumen, no dudamos que esto haya podido pasar, pero han sido un cúmulo de errores y fallos de seguridad cometidos por la familia y casi con total seguridad no por el uso del Zoom oficial.

¿Entonces estamos 100% seguros con esta aplicación?

Zoom ha tenido dos grandes problemas de seguridad: 1) un agujero en el que se podía conseguir acceso al sistema y 2) que las comunicaciones no están cifradas de extremo a extremo. El primer problema se solucionó a los pocos días de descubrirse y el segundo parece que está tardando algo más. Además de estos, Zoom, como cualquier otra aplicación en el que se ve la imagen del resto de participantes, está expuesta a que cualquiera de los participantes haga un mal uso de la comunicación, mostrando imágenes desagradables o fuera de tono.

En el caso del primer problema de seguridad, que ha sido reconocido por el creador de la aplicación, debemos tener en cuenta que cualquier programa informático es susceptible de tener agujeros por donde se filtre información o se pueda acceder al sistema pero, si el desarrollador trabaja activamente sobre ella, se irán solventando los problemas que surjan.

Por ejemplo el Hospital de Torrejón y empresas como Telefónica han estado meses con los ordenadores “secuestrados” al haber cifrado sus datos un hacker que entró por un fallo en Windows, pero nadie culpa al sistema operativo ni se pide que se deje de usar, simplemente Microsoft saca un “parche” y confiamos en que no vuelva a pasar.

Por eso siempre se recomienda tener actualizadas todas las aplicaciones, para que los fallos de seguridad, encontrados y solucionados en la nuevas versiones, no perjudiquen a los usuarios.

El segundo problema es relativamente grave, no cifrar la voz o las imágenes puede permitir a un atacante capturarlas y hacer un mal uso de ellas. Esto es clave en muchas empresas que no quieren tener la duda de que se puedan desvelar sus secretos comerciales pero, para nosotros en educación, en la que solo se ve la imagen del profesor y las pantallas de los ejercicio, que capturen alguna de nuestras clases no es realmente importante. En cualquier caso siempre recomendamos activamente a nuestros alumnos que no conecten usando la cámara web.

Como colofón a este documento, en Azulcom, S.L. confiamos en Zoom y seguiremos usando la que consideramos la mejor aplicación de videoconferencias en la actualidad. Como nosotros, miles de empresas también confían en Zoom y organismos con los que trabajamos, como la Universidad Camilo José Cela, la Fundación Universidad Empresa, La Casa Encendida, la Cámara de Comercio de Madrid o diversos ayuntamientos de la Comunidad de Madrid, nos piden que usemos Zoom para las formaciones online.

Fuentes:

Centro Criptológico Nacional
Instituto Nacional de Ciberseguridad (INCIBE)
Maldita.es
Seguro de Riesgos Cibernéticos