En el contexto actual de teletrabajo, millones de personas se han volcado al uso de diferentes plataformas a fin de continuar con reuniones de equipo y, en casos más sensibles, atención médica y psicológica de pacientes. Sin embargo, estas herramientas presentan serios riesgos para la ciberseguridad que deben ser considerados. En esta columna, Daniel Álvarez y Francisco Vera abordan los cuidados más cruciales que hay que tener con Zoom, la más popular de ellas.
Por Daniel Álvarez y Francisco Vera
Por razones que todos conocemos, en pocas semanas Zoom se ha transformado en la aplicación más descargada a nivel mundial y en Chile se ha incrementado considerablemente su utilización desde la declaración del estado de excepción constitucional por Covid-19. Su facilidad de uso y una versión gratuita han permitido a una cantidad importante de personas alrededor del mundo trasladar sus actividades laborales, educacionales y de entretención a sus respectivos hogares.
En el caso de Chile, Zoom se está usando masivamente, ya sea porque instituciones de educación superior como nuestra Universidad de Chile la están empleando como plataforma para la realización de clases en línea; porque organizaciones públicas, empresas u organismos privados lo están utilizando para sus videoconferencias internas o porque profesionales como abogados, psicólogos, periodistas, o incluso, médicos, la están utilizando en sus consultas o labores profesionales.
Lamentablemente, desde el punto de vista de la privacidad y la ciberseguridad, Zoom resultó ser un nuevo amigo indiscreto y bastante descuidado. Veamos por qué.
Al revisar sus políticas de privacidad, Zoom, básicamente, nos dice que puede hacer (casi) cualquier cosa con nuestros datos personales, la información de nuestros contactos y con el contenido de las videollamadas en que participamos. Si bien Zoom declara que cumple con diversos estándares en materia de privacidad, en particular el Reglamento General de Protección de Datos de la Unión Europea (GDPR), la legislación del Estado de California, Estados Unidos, y que cuenta con la certificación Privacy Shield que le permite transferir data desde la Unión Europea y Estados Unidos, dichas regulaciones constituyen un piso mínimo, y sus políticas de privacidad dejan mucho que desear.
Debido a las diversas controversias en que se ha visto involucrada Zoom en el último tiempo, se han visto forzados a actualizar su política de privacidad en al menos dos ocasiones en el último mes, siendo la última versión la publicada el pasado 29 de marzo de 2020.
Sin perjuicio de ello, Zoom ha recibido importantes críticas por eventuales usos invasivos, tratamiento desproporcionado de datos personales y por su política de compartir información recolectada de sus usuarios con terceras partes. Profundicemos en algunas de estas críticas:
Preocupante manejo de datos personales
Varios especialistas han criticado la excesiva ambigüedad de las políticas de privacidad de Zoom, ya que en la práctica impiden que el usuario tenga un conocimiento efectivo sobre el tipo de información que se recolecta, cómo se procesa y con quiénes y con qué periodicidad se comparte. En similar sentido, Zoom no ofrece claridad sobre el plazo de retención de datos y su política de gestión de cookies y recopilación pasiva de datos son extremadamente amplias.
La empresa también ha sido objeto de importantes críticas por sus prácticas y políticas de comunicación de la información personal de sus usuarios con terceras partes, que incluyen compañías tecnológicas, de avisaje y marketing y redes sociales como Facebook, entre otros. En este último caso, investigadores de seguridad advirtieron que Zoom intercambia información con Facebook incluso cuando los usuarios de la plataforma no tienen cuenta en esa red social. La compañía aclaró que eliminaría esta funcionalidad en la siguiente actualización de la aplicación.
Zoom también ha sido fuertemente criticada por el amplio proceso de recolección de datos de sus usuarios, que incluye información técnica de los dispositivos utilizados, información sobre geolocalización, contenido de las sesiones grabadas, información sobre las prácticas de los usuarios al momento de usar la aplicación, que incluye información sobre atención de los asistentes durante la videoconferencia, trackeo de clicks y actividad del escritorio del usuario, todas cuestiones no fácilmente advertibles para sus usuarios.
Así, desde el punto de vista de la privacidad y la protección de datos personales, el uso de Zoom puede significar un riesgo importante para sus usuarios, ya que permite la recolección desproporcionada de datos personales de los mismos, tiene políticas y prácticas de intercambio de información con terceros extremadamente amplias y sus políticas de privacidad resultan ambiguas y abusivas. Y algunas de esas características no parecen ser un defecto de la plataforma a ojos de la empresa, sino parte de su diseño.
Falta de cifrado punto a punto
Desde el punto de vista de la ciberseguridad y a pesar de su publicidad, Zoom no ofrece encriptación punto a punto de las sesiones de videoconferencia, lo que permite que la empresa efectivamente pueda acceder a las sesiones, arriesgando además la interceptación de los contenidos que los usuarios generan. Esto es particularmente grave para profesionales como abogados, médicos y psicólogos que, además de las obligaciones legales de secreto profesional que deben respetar, suelen manejar información extremadamente sensible para sus clientes y pacientes, respectivamente. Lo mismo sucede para aquellas compañías que utilizan esta plataforma para discutir o compartir información comercial o estratégica sensible.
Lamentablemente, muchas de las opciones que ayudarían a mejorar la seguridad de las conversaciones, como dificultar el acceso de terceros mediante su aprobación o el uso de contraseñas, a la fecha de este artículo se encontraban desactivadas por defecto y requieren de cierta experiencia del usuario para reconfigurarlas adecuadamente.
Problemas de seguridad de las aplicaciones móvil y de escritorio
También se han encontrado diversas vulnerabilidades y prácticas cuestionables respecto a los clientes de Zoom para Windows y MacOS, respecto de las cuales, sin embargo, la compañía ha tenido una actitud bastante proactiva, adoptando compromisos específicos respecto a la seguridad de sus productos y suspendiendo el diseño de nuevas funcionalidades hasta que esos problemas sean abordados adecuadamente.
¿Qué hacer entonces?
Con todo lo expuesto, queda claro que Zoom adolece de varios problemas en torno a su manejo de datos personales y la ciberseguridad de su plataforma, por lo que sería fácil recomendar que no se use en ninguna circunstancia. Sin embargo, la realidad es más compleja y requiere entender los usos que hacemos de Zoom y hacer una adecuada identificación y gestión de los riesgos involucrados, según el tipo de información que comuniquemos.
Zoom sigue siendo un importante competidor en algunos segmentos, como la realización de reuniones o webinars masivos, dada la estabilidad y disponibilidad de su plataforma, y el bajo consumo de recursos de sus clientes. Además, en estos casos, la competencia viene de parte de plataformas como Webex o Meet, que tienen sus propios problemas. Por otra parte, la elección de plataformas no es realmente una opción para los usuarios, sino para los administradores de sistemas, que evalúan aspectos adicionales como la posibilidad de integrarlo a sus sistemas existentes, su precio, disponibilidad, y si pueden asumir ciertos riesgos.
Distinto es el caso de videoconferencias donde se discutan aspectos de la vida privada de las personas, consultas médicas o psicológicas, comunicaciones sensibles, confidenciales o secretas de los órganos de la Administración del Estado o con información comercial sensible para empresas, entre otros casos. En estos casos, existen soluciones con opciones más robustas de seguridad, tales como Signal o Wire para usuarios particulares, y soluciones especializadas para organizaciones, especialmente en lo relativo al cifrado, por lo que el uso de Zoom en esas instancias no es recomendable en esos casos.
De cualquier forma, es importante estar informado adecuadamente de los riesgos que involucra el uso de cualquier plataforma. Hoy Zoom se encuentra bajo intenso escrutinio, pero muchas de las preocupaciones discutidas a propósito de esta aplicación también son aplicables a otras plataformas.
Es importante tener claridad sobre qué necesidades necesitan cubrirse con el uso de una herramienta, teniendo presentes los aspectos de privacidad y ciberseguridad ya mencionados, tales como las políticas de recolección y uso de datos, su transferencia a terceras partes, y aspectos de seguridad tales como el uso de cifrado y la seguridad de los clientes utilizados.
También vale la pena tener presente si las aplicaciones son de código libre (indicador usual pero no infalible de mayor seguridad y transparencia), y los modelos de negocios involucrados en las plataformas. Como dice el dicho en Internet: cuando algo es gratis, pasa que no eres el cliente, sino que el producto.
Esta columna fue escrita por Daniel Álvarez y Francisco Vera Hott. Network Lead, Privacy International.