Doctor HORACIO ULISES BARRIOS SOLANO, Premio Nacional de Ciencia “JOSÉ CECILIO DEL VALLE”

“Lee y dirigirás, no leas y serás dirigido” es un legado de la mexicana Juana Inés de la Cruz y que traigo a colación porque por este mismo medio publiqué el sábado 2 de mayo de 2020 lo siguiente: Cuando se supere la actual emergencia sanitaria global, Eris S. Yuan. (A la ocasión la pintan calva)  ocupará uno de los puestos más altos de esta macabra lista. Este emprendedor chino de 50 años es el fundador de Zoom, una aplicación para realizar video llamadas online que en los últimos dos meses ha experimentado un crecimiento nunca visto en la historia de Internet; sin embargo, a sabiendas de que alguno de mis dilectos ciberlectores me hiciese la observación de las falencias (por elemental ética utilizo ese eufemismo) del Zoom, sólo recibí desde Córdova, Argentina el cuestionamiento que merece esta aplicación que se volvió viral por un marketing engañoso y “en río revuelto ganancia de pescadores”

Micah Lee es el Director de Seguridad de la Información de First Look Media y Yael Grauer es un periodista independiente con sede en Phoenix, Arizona, EUA. Ha escrito para WIRED Slate, Forbes y otros publicaron el  22 abril, 2020 en el rotativo colombiano El Shabbat que Zoom, el servicio de videoconferencia cuyo uso se ha disparado en medio de la pandemia de Covid-19, afirma implementar un cifrado de extremo a extremo, ampliamente conocido como la forma más privada de comunicación por Internet, protegiendo las conversaciones de todas las partes externas. De hecho, Zoom está utilizando su propia definición del término, una que le permite a Zoom acceder a video y audio sin encriptar de las reuniones.

Con millones de personas en todo el mundo trabajando desde casa para frenar la propagación del coronavirus, el negocio está en auge para Zoom, atrayendo más atención sobre la compañía y sus prácticas de privacidad , incluida una política, más tarde actualizada, que pareció darle a la compañía permiso para extraer mensajes y archivos compartidos durante las reuniones con el objetivo de orientar anuncios.

Aun así, Zoom ofrece confiabilidad, facilidad de uso y al menos una garantía de seguridad muy importante: siempre y cuando se asegure de que todos en una reunión de Zoom se conecten usando “audio de computadora” en lugar de llamar por teléfono, la reunión está asegurada con finalización cifrado de extremo a extremo, al menos según el sitio web de Zoom, su documento técnico de seguridad y la interfaz de usuario dentro de la aplicación.

Pero a pesar de este marketing engañoso, el servicio en realidad no admite el cifrado de extremo a extremo para contenido de video y audio, al menos como se entiende comúnmente el término. En cambio, ofrece lo que generalmente se llama cifrado de transporte, explicado más adelante.

En el documento técnico de Zoom, hay una lista de “capacidades de seguridad previas a la reunión” que están disponibles para el anfitrión de la reunión que comienza con “Habilitar una reunión cifrada de extremo a extremo (E2E)”. Más adelante en el documento técnico, enumera “Asegurar una reunión con cifrado E2E” como una “capacidad de seguridad en la reunión” que está disponible para los anfitriones de la reunión. Cuando un anfitrión inicia una reunión con la opción “Requerir cifrado para puntos finales de terceros” habilitada, los participantes ven un candado verde que dice: “Zoom está utilizando una conexión cifrada de extremo a extremo” cuando pasan el mouse sobre él.

Pero cuando se contactó para comentar si las videoconferencias están realmente encriptadas de extremo a extremo, un portavoz de Zoom escribió: “Actualmente, no es posible habilitar el cifrado E2E para las videoconferencias de Zoom. Las reuniones de video con zoom utilizan una combinación de TCP y UDP. Las conexiones TCP se realizan mediante TLS y las conexiones UDP se cifran con AES mediante una clave negociada a través de una conexión TLS “.

El cifrado que Zoom usa para proteger las reuniones es TLS, la misma tecnología que usan los servidores web para proteger los sitios web HTTPS. Esto significa que la conexión entre la aplicación Zoom que se ejecuta en la computadora o teléfono de un usuario y el servidor de Zoom está encriptada de la misma manera que la conexión entre su navegador web y este artículo (en https://theintercept.com) está encriptada. Esto se conoce como cifrado de transporte, que es diferente del cifrado de extremo a extremo porque el servicio Zoom en sí mismo puede acceder al contenido de video y audio no cifrado de las reuniones de Zoom. Entonces, cuando tenga una reunión de Zoom, el contenido de video y audio se mantendrá privado de cualquiera que espíe su Wi-Fi, pero no se mantendrá privado de la compañía. (En un comunicado, Zoom dijo que no accede directamente, extrae ni vende datos de los usuarios; más abajo).

Para que una reunión de Zoom esté encriptada de extremo a extremo, el contenido de video y audio debería estar encriptado de tal manera que solo los participantes en la reunión tengan la capacidad de descifrarlo. El servicio Zoom en sí mismo podría tener acceso al contenido cifrado de la reunión, pero no tendría las claves de cifrado necesarias para descifrarlo (solo los participantes de la reunión tendrían estas claves) y, por lo tanto, no tendría la capacidad técnica para escuchar sus reuniones privadas. Así es como funciona el cifrado de extremo a extremo en aplicaciones de mensajería como Signal: el servicio Signal facilita el envío de mensajes cifrados entre usuarios, pero no tiene las claves de cifrado necesarias para descifrar esos mensajes y, por lo tanto, no puede acceder a su contenido no cifrado.

“Cuando usamos la frase ‘End to End’ en nuestra otra literatura, es en referencia a la conexión que se encripta desde el punto final de Zoom al punto final de Zoom”, escribió el portavoz de Zoom, aparentemente refiriéndose a los servidores de Zoom como “puntos finales” a pesar de que se sientan entre clientes de Zoom. “El contenido no se descifra a medida que se transfiere a través de la nube de Zoom” a través de la red entre estas máquinas.

Matthew Green, un criptógrafo y profesor de ciencias de la computación en la Universidad Johns Hopkins, señala que las videoconferencias grupales son difíciles de cifrar de extremo a extremo. Esto se debe a que el proveedor de servicios necesita detectar quién está

hablando para actuar como una centralita, lo que le permite enviar solo una videostream   de alta resolución de la persona que está hablando en ese momento, o que un usuario selecciona al resto del grupo, y para enviar videostreams de baja resolución de otros participantes. Este tipo de optimización es mucho más fácil si el proveedor de servicios puede ver todo porque no está encriptado.

“Si todo está encriptado de extremo a extremo, debe agregar algunos mecanismos adicionales para asegurarse de que puede hacer ese tipo de cambio de ‘quién está hablando’, y puede hacerlo de una manera que no filtre mucha información . Tienes que llevar esa lógica a los puntos finales ”, le dijo a The Intercept[1] Sin embargo, esto no es imposible, dijo Green, como lo demuestra FaceTime de Apple[2], que permite la videoconferencia grupal cifrada de extremo a extremo. “Es factible. Simplemente no es fácil “.

“Están un poco confusos sobre lo que está cifrado de extremo a extremo”, dijo Green sobre Zoom. “Creo que lo están haciendo de una manera un poco deshonesta. Sería bueno que simplemente salieran limpios “.

La única característica de Zoom que parece estar cifrada de extremo a extremo es el chat de texto en la reunión. “El cifrado de chat Zoom E2E permite una comunicación segura donde solo el destinatario puede leer el mensaje seguro”, dice el documento. “Zoom utiliza clave pública y privada para cifrar la sesión de chat con el Estándar de cifrado avanzado (AES-256). Las claves de sesión se generan con un ID de hardware exclusivo del dispositivo para evitar que se lean datos de otros dispositivos “. Un portavoz de Zoom escribió: “Cuando se habilita el cifrado de extremo a extremo para el chat, las claves se almacenan en los dispositivos locales y Zoom no tiene acceso a las claves para descifrar los datos”.

“Creo que están haciendo esto de una manera un poco deshonesta”.

Sin cifrado de extremo a extremo, Zoom tiene la capacidad técnica de espiar reuniones de video privadas y podría verse obligado a entregar grabaciones de reuniones a los gobiernos o la policía en respuesta a solicitudes legales. Mientras que otras compañías como Google , Facebook y Microsoft publican informes de transparencia que describen exactamente cuántas solicitudes gubernamentales de datos de usuarios reciben de qué países y cuántos cumplen, Zoom no publica un informe de transparencia. El 18 de marzo, el grupo de derechos humanos Access Now publicó una carta abierta pidiendo a Zoom que publique un informe de transparencia para ayudar a los usuarios a comprender qué está haciendo la compañía para proteger sus datos.

“Los informes de transparencia son una de las formas más sólidas para que las empresas revelen amenazas a la privacidad del usuario y la libre expresión. Nos ayudan a comprender las leyes de vigilancia en diferentes jurisdicciones, brindan información útil sobre interrupciones e interrupciones de la red, y nos muestran qué compañías están rechazando solicitudes incorrectas de información del usuario”, dijo Isedua Oribhabor, analista de políticas estadounidenses de Access Now. El índice de informes de transparencia de Access Now muestra una tendencia a la baja en los informes de transparencia consistentes, lo que Oribhabor dice que elimina una herramienta esencial para que los usuarios y la sociedad civil responsabilicen a los gobiernos y las empresas.

Oribhabor señaló que Zoom podría verse obligado a entregar datos a los gobiernos que desean monitorear la asamblea en línea o controlar la difusión de información a medida que los activistas mueven las protestas en línea. La falta de un informe de transparencia hace que sea difícil determinar si ha habido un aumento en las solicitudes y no está claro cómo respondería Zoom.

“Las empresas tienen la responsabilidad de ser transparentes sobre este tipo de solicitudes, para ayudar a los usuarios y a la sociedad civil a ver dónde está ocurriendo el abuso del gobierno y cómo la empresa está retrocediendo”, dijo Oribhabor.

“Zoom cumple con nuestras obligaciones legales o las obligaciones legales de nuestros clientes. Esto incluye responder a un proceso legal válido, o según sea razonablemente necesario para preservar los derechos legales de Zoom. Zoom tiene la obligación legal de trabajar con la policía cuando existe una violación de los Términos de servicio en línea de Zoom ”, dijo un portavoz de Zoom en un correo electrónico.

Zoom tiene la capacidad técnica de espiar reuniones de video privadas.

Es posible que el marketing de Zoom se considere una práctica comercial injusta o engañosa que afectaría a la Comisión Federal de Comercio. En 2014, Fandango y Credit Karma[3]  los cargos con la FTC[4] después de no implementar correctamente el cifrado SSL para procesar la información de la tarjeta de crédito, a pesar de sus promesas de seguridad. Esto dejó los datos personales del cliente vulnerables a los ataques de intermediarios.

El tecnólogo independiente Ashkan Soltani, quien anteriormente se desempeñó como tecnólogo jefe de la FTC, dijo que no está claro si Zoom está implementando encriptación de extremo a extremo; él no sabía que pretendía hacerlo antes de hablar con The Intercept. Pero dijo que si un consumidor razonable toma la decisión de usar Zoom con el entendimiento de que tiene cifrado de extremo a extremo para el chat de video cuando, de hecho, no lo hizo, y si la representación de Zoom es engañosa, podría ser un engaño práctica comercial.

Este tipo de comercialización podría afectar no solo a los consumidores, sino también a otras empresas.

“Si Zoom afirmó que tienen cifrado de extremo a extremo, pero en realidad no invirtió los recursos para implementarlo, y Google Hangouts no hizo ese reclamo y usted eligió Zoom, no solo está siendo perjudicado como consumidor, sino también en De hecho, Hangouts está siendo perjudicado porque Zoom está haciendo afirmaciones sobre su producto que no son ciertas “, dijo.Por lo tanto, en realidad se está beneficiando de afirmaciones falsas, y las personas esencialmente están recibiendo más participación de mercado debido a esas afirmaciones falsas”.

Los clientes comerciales de Zoom con un mínimo de 10 anfitriones tienen la opción de usar un conector de reunión local , que permite a las empresas alojar un servidor Zoom en su red corporativa interna. Con esta configuración, los metadatos [5]de la reunión, como los nombres y horarios de las reuniones y a qué participantes se unen, pasan por los servidores de Zoom, pero “la reunión en sí misma está alojada en la red interna del cliente”, según el documento técnico. “Todo el tráfico de reuniones en tiempo real, incluido el audio, el video y el intercambio de datos, se realiza a través de la red interna de la compañía. Esto aprovecha su configuración de seguridad de red existente para proteger el tráfico de su reunión”. Aunque las reuniones de Zoom no están encriptadas de extremo a extremo, la empresa no debe tener acceso al video y al audio de las reuniones que pasan por el servidor de Meeting Connector del cliente; solo el cliente debe tener acceso a eso.

Zoom proporcionó la siguiente declaración a The Intercept: “Zoom toma muy en serio la privacidad de sus usuarios. Zoom solo recopila datos de personas que usan la plataforma Zoom según sea necesario para proporcionar el servicio y garantizar que se entregue de la manera más efectiva posible. Zoom debe recopilar información técnica básica como la dirección IP de los usuarios, los detalles del sistema operativo y los detalles del dispositivo para que el servicio funcione correctamente. Zoom ha implementado salvaguardas para proteger la privacidad de nuestros usuarios, lo que incluye evitar que cualquier persona, incluidos los empleados de Zoom, accedan directamente a los datos que los usuarios comparten durante las reuniones, incluido, entre otros, el contenido de video, audio y chat de esas reuniones . Es importante destacar que Zoom no extrae datos de usuario ni vende datos de usuario de ningún tipo a nadie”.


[1]The Intercept fue lanzado en febrero de 2014 por First Look Media, que está financiado por el fundador de eBay, Pierre Omidyar. La publicación informó inicialmente sobre documentos publicados por Edward Snowden.

[2] FaceTime es una aplicación de telefonía con video para el iPhone, iPad, Mac y iPod touch. Fue anunciado el 7 de junio de 2010 para iPhone, el 1 de septiembre de 2010 para el iPod touch 4° Generación … Wikipedia

[3] Fandango y Credit Karma liquidan cargos de la FTC por engañar a los consumidores al no transmitir de manera segura información personal confidencial

[4] La FTC es una agencia federal bipartidista con una misión doble única para proteger a los consumidores y promover la competencia. Durante cien años, nuestra agencia colegial y orientada al consenso ha defendido los intereses de los consumidores estadounidenses. Al comenzar nuestro segundo siglo, la FTC se dedica a promover los intereses de los consumidores al tiempo que fomenta la innovación y la competencia en nuestra economía dinámica.

[5] Los metadatos, literalmente “sobre datos”, son datos que describen otros datos. En general, un grupo de metadatos se refiere a un grupo de datos que describen el contenido informativo de un objeto al que se denomina recurso. El concepto de metadatos es análogo al uso de índices para localizar objetos en vez de datos. Wikipedia

Loading

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Dejar una respuesta

Please enter your comment!
Please enter your name here