Observador Urbano

Denuncian que la plataforma de videollamadas, Zoom, no cumple con el cifrado de extremo a extremo

Según refleja, el sitio Applesfera, se ha denunciado que la aplicación de videollamadas, Zoom, posee una grave falla de seguridad. A pesar de que la app, tanto en su página web como en su interfaz, indica que posee cifrado de extremo a extremo, la realidad es otra.

Según Felix (@c1truz_), técnico jefe del rastreador de malware VMRay, el instalador de Zoom para Mac usa unos scripts para falsificar mensajes del sistema. La instalación aprovecha estos scripts para automatizar la instalación sin solicitar el permiso al usuario y falsifica un mensaje para obtener privilegios en el sistema. Dicho técnico señala, que se trata de los trucos que usa cualquier malware.

El sitio especializado en información tecnológica, The Intercept, ha denunciado que el servicio de videoconferencia, no cifra las conversaciones de extremo a extremo, por lo que los servidores pueden descifrar cualquier llamada y ver y oír a todos los participantes. Recordemos que esta técnica implica que cuando enviamos un mensaje a un contacto de nuestra agenda, solo el que envía y el receptor podrán tener acceso a la conversación, incluyendo imágenes, videos, mensajes de voz y documentos. Ni siquiera el desarrollador de una determinada aplicación, de mensajería, sobre todo, puede ver el contenido.

Cuando ciframos de extremo a extremo nos aseguramos de que solo nosotros y nuestro remitente podemos calcular la clave necesaria para descifrar el mensaje. Esto significa que no tiene importancia cuán inseguro pueda ser el camino que recorre nuestra información. Se encuentra a salvo.

¿Qué cifrado tiene Zoom?

A pesar que tanto en su página web, como en el material publicitario, como en la misma interfaz de la app, se habla de cifrado de extremo a extremo y lo confirma un portavoz de Zoom.

«Actualmente no es posible habilitar la encriptación E2E (de extremo a extremo) para las reuniones de vídeo de Zoom. Las videoconferencias de Zoom utilizan una combinación de TCP y UDP. Las conexiones TCP se hacen usando TLS y las conexiones UDP se encriptan con AES usando una clave negociada sobre una conexión TLS».

Lo que hace Zoom es cifrar la conversación entre el emisor y sus servidores, posteriormente la conversación se procesa y el servidor la cifra entre él y los receptores. Esto significa que la conversación e información está totalmente expuesta en los servidores de Zoom.

La gente de Applesfera, se pregunta si esto implica un riesgo. «El hecho de que la empresa tenga acceso a las conversaciones de sus usuarios implica dos cosas si damos por hecho la buena fe de la empresa. En primer lugar que los gobiernos o agencias de inteligencia pueden solicitar legalmente el acceso a esos datos, y, en segundo, que un atacante puede acceder a los servidores de Zoom sin que siquiera la empresa lo sepa y obtener toda la información».

Se supone que la empresa está intentado cambiar esta situación. Un asunto grave, tratándose de una App sumamente exitosa en estos momentos. Claro, está, algunos pueden argumentar, que sea esta la razón de ataques contra la empresa desarrolladora, pero vemos que ellos mismos reconocen la falla.

Una advertencia, que nos recuerda, que siempre debemos estar atentos a las concesiones que hacemos a las empresas, que nos ofrecen sus servicios informáticos.

Por Observador Urbano

Fuente: www.applesfera.com

Imagen destacada: www.pixabay.com

Imagen en nota: www.pexels.com