ACTUALIZAR: Según Zoom, la empresa estaba utilizando por error sus servidores chinos para generar claves de cifrado para los usuarios norteamericanos.
"En nuestra urgencia por acudir en ayuda de personas de todo el mundo durante esta pandemia sin precedentes, agregamos capacidad de servidor y la implementamos rápidamente, comenzando en China, donde comenzó el brote", escribió el director ejecutivo de Zoom, Eric Yuan, en una publicación de blog.
"En ese proceso, no pudimos implementar completamente nuestras mejores prácticas habituales de geo-cercas.
Como resultado, es posible que se permitiera que ciertas reuniones se conectaran a sistemas en China, donde no deberían haber podido conectarse.
Desde entonces, hemos corregido esta."
Los servidores chinos han sido eliminados de una lista de "puentes de respaldo", que pueden servir a los usuarios en momentos de alto tráfico a través del servicio de videoconferencia.
"Esta situación no tuvo ningún impacto en nuestra nube Zoom for Government, que es un entorno separado disponible para nuestros clientes gubernamentales y cualquier otro que solicite las especificaciones de ese entorno", agregó Yuan.
La compañía también está trabajando para mejorar su enfoque de cifrado para seguir las mejores prácticas.
"Tenemos la inmensa responsabilidad de hacer las cosas bien, especialmente en un momento como este.
Sabemos que tenemos un largo camino por recorrer para recuperar su plena confianza, pero estamos comprometidos a lanzarnos a reforzar la seguridad de nuestra plataforma", escribió.
.
Historia original:
Zoom dice que ofrece cifrado de extremo a extremo en sus videoconferencias para ayudar a evitar el espionaje, pero no lo crea.
La compañía con sede en San José no solo conserva las claves de cifrado, sino que también las envía a China en algunos casos, según un grupo de vigilancia.
Citizen Lab probó el servicio de videoconferencia para ver dónde se estaban generando las claves de cifrado.
“Durante múltiples llamadas de prueba en Norteamérica, observamos claves para cifrar y descifrar reuniones transmitidas a servidores en Beijing, China”, escribieron los investigadores Bill Marczak y John Scott-Railton en un informe del viernes.
Es probable que las claves se envíen a China porque Zoom tiene oficinas subsidiarias en el país.
La propia presentación ante la SEC de la compañía muestra que la compañía emplea a 700 personas en China con fines de investigación y desarrollo.
Por supuesto, los malos actores pueden espiar fácilmente sus reuniones de Zoom si ha hecho pública la sesión o no ha protegido sus contraseñas.
La falta de seguridad ha dado lugar a una ola de incidentes con bombas de Zoom, lo que ha llevado al FBI a advertir al público sobre el fenómeno.
El cifrado, por otro lado, puede proteger sus mensajes de miradas indiscretas cuando se alojan en una base de datos o se envían a través de una red.
En un verdadero sistema de cifrado de extremo a extremo, la clave se genera y se almacena en su teléfono inteligente o computadora portátil, lo que evita que el propio proveedor (o la policía) descifre sus mensajes.
Sin embargo, en el caso de Zoom, la empresa gestiona las claves desde sus propios servidores.
"Un escaneo muestra un total de cinco servidores en China y 68 en los Estados Unidos que aparentemente ejecutan el mismo software de servidor Zoom que el servidor de Beijing", dijeron los investigadores en el informe.
Según Citizen Lab, es probable que Zoom tenga oficinas de la empresa en China para ayudarlo a reducir los costos laborales.
Pero también significa que esas oficinas están bajo la jurisdicción del gobierno chino, que tiene el poder de presionar a las empresas nacionales para que entreguen información.
Hasta ahora, Zoom no ha comentado sobre el informe.
Pero el miércoles, abordó la controversia sobre su enfoque del cifrado.
Si bien Zoom se aferra a las claves de cifrado, no tiene un sistema para descifrar fácilmente las sesiones de video, según Oded Gal, director de productos de Zoom.
Recomendado por nuestros editores
"Zoom nunca ha creado un mecanismo para descifrar reuniones en vivo con fines de interceptación legal, ni tenemos medios para insertar a nuestros empleados u otras personas en las reuniones sin que se reflejen en la lista de participantes", escribió Gal en una publicación de blog.
Aún así, Citizen Lab hace algunos agujeros importantes en las afirmaciones de cifrado de la empresa.
El mismo informe señala que Zoom está utilizando un estándar de cifrado más débil, AES-128, en lo que se llama modo ECB.
Esta es una mala idea, según Citizen Lab, porque las sesiones de video encriptadas aún conservarán patrones en los datos.
Esto puede permitirle ver los contornos aproximados de las imágenes de video, a pesar del cifrado en su lugar.
Los investigadores también han encontrado una vulnerabilidad seria en la función de sala de espera de Zoom, que puede usarse para evitar que invitados no deseados entren a sus reuniones.
"Actualmente no proporcionamos información pública sobre el tema para evitar que se abuse de él", escribieron los investigadores.
"Mientras tanto, aconsejamos a los usuarios de Zoom que deseen confidencialidad que no utilicen las salas de espera de Zoom.
En su lugar, animamos a los usuarios a utilizar la función de contraseña de Zoom, que parece ofrecer un mayor nivel de confidencialidad que las salas de espera".
Conclusión principal del informe: Zoom está bien para usar en conversaciones informales y enseñanza en línea.
Pero si confía en el servicio para hablar sobre información confidencial, como negocios de la empresa o del gobierno, debería considerar una herramienta de videoconferencia más segura o una aplicación de mensajería como Signal.
Zoom ha dicho que está trabajando para permitir que los usuarios almacenen las claves de cifrado localmente en su propio hardware.
Pero la opción no llegará hasta finales de este año y parece estar orientada a las empresas, no a los consumidores promedio.
Debido al coronavirus, el uso de Zoom se ha disparado a 200 millones de usuarios diarios, en comparación con solo 10 millones en diciembre.
