El período de cuarentena ha propiciado la expansión del uso de aplicaciones y servicios que pueden hacer más llevadero el trabajo, la comunicación y el entretenimiento a distancia.
Junto con adquirir popularidad, servicios de videollamadas como Zoom y Houseparty no han estado exentos de polémicas, ubicándose en el ojo del huracán por cuestionamientos al manejo de la privacidad de sus usuarios.
El caso de Houseparty: ¿Campaña de difamación?
Para muchas personas, más allá del trabajo, las videollamadas han sido uno de los recursos de comunicación más importantes para hacer llevadero este tiempo de confinamiento.
Como una solución práctica y lúdica, apareció Houseparty como la alternativa perfecta, ya que junto con ofrecer la posibilidad de compartir una llamada entre un máximo de 8 personas, es amigable con conexiones de un ancho de banda más reducido y cuenta con juegos y dinámicas para amenizar la conversación.
Por todas estas bondades, la app terminó acaparando rápidamente los primeros puestos entre las descargas de la App Store de iOS y la Play Store de Google para Android, acumulando millones de descargas. Fue en medio de este contexto que surgió la polémica.
Durante la última semana, empezó a circular con fuerza en redes sociales el rumor de que esta app contenía código malicioso, siendo capaz de robar información desde otros servicios que tuvieras configurados en tu dispositivo, como tus aplicaciones bancarias e incluso tus suscripciones a servicios de streaming, como Netflix o Spotify.
Según Epic Games, empresa que compró la app a sus creadores en 2019, estas acusaciones son infundadas, pues no hay evidencia concreta de aquello. Incluso presumen que hay una campaña pagada de difamación tras este escándalo viral. Por lo mismo, a través de la cuenta de Twitter de la aplicación, ofrecieron una recompensa de un millón de dólares para la persona que logre dar con el origen de este rumor.
We are investigating indications that the recent hacking rumors were spread by a paid commercial smear campaign to harm Houseparty. We are offering a $1,000,000 bounty for the first individual to provide proof of such a campaign to bounty@houseparty.com.
— Houseparty (@houseparty) March 31, 2020
El caso de Zoom: el cifrado que no es tal y otras vulnerabilidades
En contextos laborales y educativos, Zoom se ha vuelto una alternativa de amplia adopción, gracias a la facilidad que brinda para realizar videollamadas grupales, al no contar con el requisito de instalar software dedicado, salvo en el caso de quien inicie una sesión de videoconferencia.
Durante el último tiempo han surgido muchas acusaciones respecto a la privacidad que la app garantiza a sus usuarios. A diferencia del caso de Houseparty, estas sí se encuentran debidamente fundadas.
El 26 de marzo, VICE hizo pública una investigación en la que se dejó en evidencia que la app de Zoom para iOS compartía datos como el modelo y sistema operativa de tu dispositivo, zona horaria y tu ubicación con Facebook, sin explicitarlo en su política de privacidad. Esto fue corregido dos días después mediante una actualización sus políticas, señalando que estos datos se recaban para elaborar anuncios publicitarios personalizados.
Calando más hondo en materia de privacidad y manejo de datos personales, un informe de Consumer Report señala que además de recopilar datos más “genéricos” para fines de personalización publicitaria, también recopilan información más sensible, como los nombres de los participantes en las sesiones de videoconferencia, los mensajes instantáneos, los archivos y documentos compartidos, las grabaciones en la nube e incluso, aquello que se comparte en las pizarras de la plataforma.
Adicionalmente, un reporte del investigador de seguridad @_g0dmode señaló que la app de Zoom para Windows cuenta con una vulnerabilidad en su sistema para compartir enlaces. Como en muchos sistemas de mensajería, al compartir una URL, esta se convierte en un hipervínculo clickeable. El problema aquí radica en que al compartir una ruta de acceso UNC de la red de Windows, esta también se vuelve un hipervínculo, compartiendo por arrastre las credenciales de seguridad de tu equipo, exponiendo todos tus datos a través del protocolo SMB. Bleeping Computer explica este caso en detalle.
Para terminar de coronar las graves faltas de este servicio, una investigación de The Intercept reveló que el acceso que desde Zoom pueden tener a nuestros datos de comunicación personal se deben a que su cifrado de extremo a extremo (E2E) no funciona como tal, pues sólo cuentan con un sistema de cifrado de transporte (TLS).
En palabras más sencillas, comunicarse a través de Zoom no implica que tus datos sean encriptados de forma tal que sólo quienes actúan como interlocutores en la llamada puedan acceder a ellos. Más bien, el nivel de seguridad de este servicio equivale al que te proporciona un navegador al entrar a un sitio HTTPS, nada más.
Zoom ya respondió a estas acusaciones, indicando que durante 90 días no lanzarán ninguna función nueva hasta no solucionar sus problemas en este sentido.
Si te preocupa tu privacidad y quieres mantener videoconferencias en un entorno más seguro, por lo menos hasta que se subsanen todas las debilidades que se le acusan a Zoom, una buena alternativa puede ser Jitsi, la cual es gratuita, de código abierto y además cuenta con una mejor protección de datos. Otra opción, con medidas de seguridad más robustas es Signal, la cual cuenta con cifrado E2E en su sistema de mensajería y llamadas.