Activar las prácticas de seguridad injustas y engañosas de Zoom: más sobre el asentamiento de la FTC
Esta vez el año pasado, "Zoom" fue solo una palabra relacionada con la velocidad. Pero la pandemia ha hecho que la plataforma de videoconferencia Zoom sea un elemento diario para empresarios que confieren sobre secretos comerciales, médicos y profesionales de la salud mental que discuten información sensible al paciente, los niños que se mantienen al día con el trabajo escolar y el resto de nosotros compartiendo todo, desde los detalles de la vida cotidiana hasta los asuntos familiares confidenciales. Según una queja de la FTC recién anunciada, Zoom supuestamente se dedicó a prácticas engañosas e injustas que engañaron a los consumidores sobre la seguridad de sus comunicaciones en la plataforma y que ponen en riesgo a ciertos usuarios cuando la compañía socavó una característica de seguridad integrada en el navegador Safari. Un acuerdo propuesto requerirá que Zoom honre sus promesas de seguridad e implementa un programa integral diseñado para proteger la información de los consumidores en el futuro.
Use Zoom solo unas pocas veces y comprenderá la amplitud de los datos que recopila la compañía: nombres, direcciones de correo electrónico, ubicaciones aproximadas, números de tarjetas de crédito, la identidad de los asistentes y una gran cantidad de información recopilada mientras las personas usan el servicio, incluidos los chats, mensajes, archivos y reuniones grabadas almacenadas en el almacenamiento de la nube de Zoom. Obviamente, consciente de las preocupaciones de los consumidores sobre la seguridad de sus comunicaciones, Zoom reclamó en su sitio web y en otros lugares que se toma en serio la "seguridad", que "coloca la privacidad y la seguridad como la más alta prioridad" y que "está comprometido a proteger su privacidad".
En su sitio, en su aplicación, en guías de seguridad y en comunicaciones directas con clientes potenciales, Zoom prominentemente promocionó su "cifrado AES de 256 bits de extremo a extremo" para todas las reuniones. El cifrado de extremo a extremo es una forma de asegurar las comunicaciones para que solo el remitente y los destinatarios, y nadie más, ni siquiera el proveedor de la plataforma, pueda leer los contenidos. El cifrado AES de 256 bits es un nivel tan fuerte de cifrado que puede usarse para asegurar mensajes "de alto secreto". Según una publicación del blog de Zoom 2015, el "Cifrado AES 256 de Zoom" hizo que "sea imposible para un hacker tomar cualquier cosa fuera de una transmisión irremediablemente confusión. . . . "La compañía también representó a los proveedores de atención médica que" el cifrado de 256 bits de extremo a extremo de todos los datos de reuniones y mensajes instantáneos "hizo que la plataforma fuera adecuada para las necesidades de seguridad mejoradas de la videoconferencia de telesalud.
Eso es lo que reclamó la compañía, pero la FTC dice que Zoom entregó mucho menos. De hecho, Zoom no proporcionó un cifrado de extremo a extremo para la mayoría de las reuniones de Zoom porque los servidores de Zoom, incluidos algunos ubicados en China, mantuvieron las claves criptográficas que podrían permitir que Zoom acceda al contenido de las reuniones de sus clientes. Además, la FTC dice que el reclamo de la compañía de "cifrado de 256 bits" fue falso o engañoso porque Zoom entregó un nivel más bajo de cifrado que proporcionó menos protección.
Para los clientes de pago, Zoom también ofreció la opción de almacenar sus reuniones grabadas en la nube segura de Zoom inmediatamente después de que la reunión había terminado. Sin embargo, según la FTC, las grabaciones se mantuvieron en los servidores de Zoom sin cifrar hasta 60 días antes de que se transfirieran al almacenamiento seguro de la nube de Zoom, donde se almacenaron encriptados.
La FTC también alega que para los usuarios de Mac, el software instalado de Zoom, llamado Zoomopener, que planteó particulares preocupaciones de privacidad y seguridad. Los propietarios de MAC querrán leer la queja por más detalles, pero aquí está el resumen. Para ayudar a defenderse de los actores malware y malicioso, Apple había actualizado su navegador Safari para exigir a los usuarios que interactúen con un cuadro de diálogo cuando un sitio web o enlace intentó lanzar una aplicación externa. Entonces, si un consumidor recibió un enlace de invitación a una reunión de zoom, tuvo que hacer clic en que estaba "bien" abrir la aplicación Zoom y unirse a la reunión. Sin embargo, para evitar este cuadro de diálogo, en julio de 2018, Zoom actualizó su aplicación para Macs con su software Zoomopener. La compañía afirmó que el propósito de la actualización era resolver "soluciones menores de errores", pero la FTC dice que Zoom tenía algo más en mente. De hecho, el "Fix" de Zoom evitó esa salvaguardia en el navegador Safari de Apple. El resultado: los consumidores podrían unirse automáticamente a las reuniones de zoom con sus cámaras también activadas automáticamente a menos que los consumidores hayan cambiado su configuración de video de zoom predeterminada.
Es importante destacar que Zoom no estableció ninguna medida compensatoria para proteger a los usuarios, y la FTC alega que la estratagema detrás de escena de Zoom pone en riesgo a los usuarios de MAC. Por ejemplo, los no goodniks podrían enviar correos electrónicos de phishing que realmente eran invitaciones de zoom disfrazadas. Si los consumidores hicieron clic en un enlace, podría abrir una reunión de zoom sin su permiso y permitir que los extraños los espíen a través de sus cámaras web o instalar malware en sus computadoras. Incluso si los usuarios eliminaron la aplicación Zoom, el Zoomopener permaneció, junto con sus vulnerabilidades adjuntas. Además, Zoom podría volver a instalar la aplicación Zoom sin el permiso o el conocimiento del usuario. Apple eliminó el servidor web Zoomopener de las computadoras de los usuarios en 2019.
La queja administrativa propuesta alega que Zoom violó la Ley de la FTC al hacer reclamos engañosos de cifrado de extremo a extremo, falsas promesas sobre el nivel de cifrado que proporcionó y representaciones engañosas con respecto al almacenamiento de la nube asegurado para las reuniones registradas. Además, la FTC cobra que la instalación de Zoom del Zoomopener eludió injustamente las salvaguardas de privacidad y seguridad de terceros y que Zoom no pudo dar a los consumidores la primicia sobre el Zoomopener.
El asentamiento propuesto prohíbe que Zoom haga una amplia variedad de tergiversaciones relacionadas con la privacidad y la seguridad. También requiere que Zoom implique un programa de seguridad de la información de largo alcance que incluye, entre otras cosas, una revisión de seguridad para todo el software nuevo antes de la versión, un programa de gestión de vulnerabilidades, capacitación de seguridad regular para todos los empleados, capacitación especializada para desarrolladores e ingenieros, y evaluaciones de programas independientes por un tercero calificado dentro de los 180 días y cada otro año después de los próximos 20 años. Una vez que el acuerdo propuesto se publique en el Registro Federal, la FTC aceptará comentarios públicos durante 30 días.
A pesar de que Zoom ha descontinuado la mayoría de las prácticas impugnadas en la queja, el medio más efectivo para el cumplimiento futuro es una seguridad integral que presenta un tercero calificado, monitoreado por la FTC y ejecutable en la corte. Los cientos de millones de consumidores que confían en Zoom todos los días para realizar negocios, obtener atención médica, educar a sus hijos y conectarse con miembros de la familia tienen derecho a esperar que la compañía tome medidas para proteger su información personal.
¿Busca más información sobre el uso de plataformas de videoconferencia? Lea la videoconferencia: 10 consejos de privacidad para su negocio.
