La emergencia sanitaria mundial provoca preocupación y miedo, pero también origina oportunidades de negocio y de crecimiento para profesionales y empresas como Zoom.
La plataforma era conocida desde el 2011 para efectuar videoconferencias, pero no fue hasta el pasado mes de marzo cuando tuvo un crecimiento exponencial: pasó de 10 millones de usuarios a 200 millones al día, lo cual produjo un aumento en el valor de la empresa y la colocó por encima de otras más grandes, como algunas aerolíneas muy reconocidas.
Con el crecimiento, vino el escrutinio y fue cuando múltiples vulnerabilidades fueron detectadas y, en consecuencia, surgieron preocupaciones por la posible violación de la privacidad.
Incluso organizaciones y personas conocidas difundieron advertencias sobre la seguridad de Zoom y, con ello, se acuñó el término zoombombing para describir el ingreso de personas no invitadas a las videoconferencias.
Una simple búsqueda en Google de URL utilizando la dirección zoom.us arroja vínculos sin protección de múltiples reuniones a las cuales cualquiera puede ingresar.
Esa facilidad se presta para que terceros interfieran en las reuniones. No faltan quienes introducen contenidos sexuales, incluso mientras niños reciben clases de forma remota.
Además, es posible obtener información confidencial de las personas y empresas usuarias tomando el control del micrófono y la cámara y grabando los contenidos. Lo anterior se produce, especialmente, cuando las reuniones se celebran sin el uso de contraseñas o de la función “sala de espera”, y, más aún, cuando se publican los ID de las reuniones en las redes sociales.
Más costuras reventadas. También han sucedido exploits de día cero (ciberataques), que entregan el control de las computadoras, exponen credenciales de acceso de Windows y otras fallas.
La mayoría de dichas vulnerabilidades ya fueron corregidas y el CEO de Zoom aseguró que en un máximo de tres meses resolverán las restantes.
Ciberdelincuentes también han utilizado sitios web desde los cuales se engaña al usuario para que descargue versiones no oficiales de Zoom, las cuales contienen software malicioso para secuestrar información y extorsionar. La seguridad, por tanto, también depende de los cuidados que los usuarios tomen.
Algunos opinan que Zoom está pagando el precio de decisiones bienintencionadas tomadas al principio de la pandemia, cuando, en un afán de contribuir al combate del virus, abrió la plataforma de forma gratuita a los profesionales en salud y eliminó el límite de tiempo en la versión sin paga para instituciones educativas.
Lecciones. La experiencia de esta empresa debe servir a empresarios y profesionales para pensar en muchos detalles antes de tomar la oportunidad de crecer rápidamente, por ejemplo:
1. Contar con la capacidad para atender la demanda teniendo en cuenta tanto la infraestructura como la protección de la privacidad y seguridad de los nuevos clientes.
2. Analizar si todos los clientes potenciales son los que quiere tener y si están acordes con su línea de negocio.
3. No olvidar que atender nuevos clientes podría derivar en desatender los existentes y, consecuentemente, perderlos.
4. Tener conciencia de que una exposición más grande generará más escrutinio, e incluso ataques de la competencia. Quizás sea blanco de una cantidad numerosa de ciberdelincuentes.
Cuidados particulares. Las prácticas para evitar malas experiencias al usar Zoom son las mismas para cualquier aplicación, pero hay varias específicas para esta. Las principales son:
1. Mantener el sistema operativo actualizado: vale tanto para computadoras como para celulares y tablets.
2. Tener un antivirus instalado en todos los dispositivos.
3. Estar pendiente de las actualizaciones, pues estas corrigen la mayoría de las vulnerabilidades y disminuyen los riesgos.
4. No abrir correos electrónicos o archivos de remitentes desconocidos, tener cuidado al recibir links por mensajería instantánea, evitar navegar en páginas no seguras y verificar la procedencia y desarrolladores de las aplicaciones.
5. Instalar únicamente apps obtenidas de tiendas o páginas oficiales. El hecho de que estén en Google Play o en Apple Store no quiere decir que son totalmente confiables.
6. Tener una copia de seguridad actualizada de los dispositivos para que, si le secuestraran información, no pague rescate y no contribuya a la promoción de este tipo de delitos.
Por otra parte, es conveniente:
1. Usar una contraseña segura —de cuando menos 11 caracteres, con mayúsculas, minúsculas, números y caracteres especiales— y única para el ingreso a la plataforma. Nunca utilice contraseñas creadas para ingresar a otras plataformas, como el correo electrónico, y mucho menos si son bancarias.
2. Crear un ID aleatorio para cada reunión.
3. Activar la función “sala de espera” para aprobar el ingreso de las personas una a una.
4. Inhabilitar la opción de unirse antes de que llegue el anfitrión.
5. Inhabilitar la transferencia de archivos mediante el chat.
6. Inhabilitar el “compartir pantallas” para quien no sea el anfitrión.
7. Cerrar la sesión una vez iniciada para prevenir que durante la actividad ingresen personas ajenas o que, por desconcentración al estar en la reunión, se les acepte pasar de la sala de espera.
Aun si atendiendo las recomendaciones alguien lograra filtrarse durante la sesión, bastará con bloquearlo o silenciarlo.
Cabe destacar que este artículo no pretende crucificar a Zoom, sino guiar a empresas y profesionales antes de aventurarse en una oportunidad que se les presente.
No hay plataforma cien por ciento segura y es posible que Zoom logre corregir todas sus vulnerabilidades porque tiene herramientas muy útiles para los tiempos modernos. Y es indiscutible que gran parte de la seguridad de nuestras actividades depende de nosotros mismos, de estar informados, actualizados, y de dar el mejor uso a las distintas plataformas ofrecidas por el mercado.
adrian.bustamante@cpic.cr
El autor es miembro de la comisión de ciberseguridad del Colegio de Profesionales en Informática y Computación.