noviembre 9, 2020

Definitivamente este lunes no ha sido un buen día para Zoom. Aunque correlación no necesariamente implica causalidad, es probable que la noticia sobre los avances en la vacuna del coronavirus puedan no ser la mejor noticia para sus accionistas, que han vivido un enorme crecimiento precisamente por las consecuencias de la pandemia. La videoconferencia y los servicios que la ofrecen han sido de los pocos que tienen algo que celebrar, aunque obviamente no estoy diciendo que se alegren por ello.

Y por si fuera poco, también sabemos hoy por Gizmodo, que Zoom ha llegado a un acuerdo con la FTC, tras las acusaciones que emitió este regulador federal estadounidense, en las que afirmaba que la compañía llevó a cabo «una serie de prácticas engañosas e injustas que socavaron la seguridad de sus usuarios.» Unas acusaciones que se remontan a 2016, momento en el que detectó que la compañía informaba sobre su supuesto cifrado de extremo a extremo de 256 bits, una afirmación que este organismo rebate.

En la comunicación emitida por la FTC, se afirma que el nivel de seguridad ofrecido por Zoom era muy inferior al que se afirmaba, por el hecho de que las claves de cifrado no se encontraban bajo la custodia de su usuario, sino en los servidores de Zoom, por lo que ésta podía acceder al contenido de las mismas si lo deseaba Una práctica que la empresa mantuvo durante años y que, cuando se planteó cambiar, en principio quiso hacerlo solo con las cuentas de pago, generando una gran polémica por ello y viéndose obligada a dar marcha atrás. y poniendo finalmente el cifrado de extremo a extremo con las claves en custodia del usuario recientemente.

Aunque este ha sido uno de los principales frentes de la compañía durante gran parte de este 2020, Zoom también se ha tenido que enfrentar a otras acusaciones igualmente lesivas en lo referido a la privacidad de sus usuarios. Por ejemplo, Zoom afirmó falsamente que las videoconferencias de los usuarios guardadas en su servicio en la nube se cifrarían «inmediatamente». La FTC afirma, sin embargo, que algunos videos grabados se almacenaron sin cifrar hasta  60 días antes de ser guardados ya de forma segura.

Zoom engañó a sus clientes, según la FTC

Y por si fuera poco, el regulador también afirma que Zoom instaló su servidor web, ZoomOpener junto a su cliente de escritorio para MacOS X sin informar de ello a los usuarios. Un software que, además, permanecía en los sistemas aunque el cliente de Zoom fuera desinstalado de los mismos. Este sistema para eludir determinados controles de seguridad de Safari no parece algo que ocurriera por error, sino una acción deliberada por parte de los responsables de Zoom.

Como parte del acuerdo suscrito por la FTC y Zoom, la compañía se compromete a realizar auditorías de seguridad antes de cualquier actualización de su software, realizar auditorías anuales de cualquier posible riesgo de seguridad interno o externo, implementar un programa de gestión de vulnerabilidades, implementar herramientas de eliminación de datos y prevenir el uso de credenciales de usuario robadas, según la agencia. Ah, y obviamente también se ha tenido que comprometer a no volver a mentir, algo que será verificado por una auditoría externa cada dos años.