en Protección de Datos Personales

En una entrada anterior, comentábamos las distintas violaciones de privacidad y seguridad de la aplicación de videoconferencia Zoom. Recordemos que en el transcurso de un par de meses, la plataforma ha sido objeto de alertas públicas del FBI, prohibiciones de uso por algunos CEO muy conocidos o por organismos públicos.

Sin embargo, merece la pena sacar algunas conclusiones que podemos extraer de un caso tan paradigmático:

  • Las empresas siguen usando Zoom y, o bien ignoran los problemas de seguridad y privacidad que son notariamente conocidos en relación a la app, o simplemente miran para otro lado. En ambos casos el asunto es grave porque significa que las organizaciones no analizan bien los sistemas en la nube que contratan.
  • Las personas que usan Zoom, a menudo, creen que por poder poner una contraseña que impida el zoombombing el sistema es seguro. Por tanto, ni los particulares ni las personas físicas están bien formados al respecto. Nuevamente, las organizaciones están siendo negligentes al no transmitir la adecuada cultura de privacidad y seguridad.
  • Las organizaciones que siguen usando Zoom no estarían cumpliendo con la normativa de protección de datos personales ya que este servicio en la nube no cumple con los principios legales de privacidad desde el diseño y por defecto.
  • La extrema usabilidad de esta aplicación parece estar por encima de cualquier otra consideración como la privacidad o la seguridad. La adopción de una tecnología es inversamente proporcional a su facilidad de uso, eso lo sabemos, pero existen soluciones más respetuosas con la privacidad y la seguridad con una experiencia de uso equivalente y no se están usando.
  • Una empresa empresa como Zoom que lleva nueve años en el mercado con tales problemas, pues ha estado prestando un servicio que ha permitido acceder a conversaciones ajenas; filtrar datos a través de servidores en China; ceder datos ilegalmente para cruzarlos con las bases de datos de Microsoft en LinkedIn; ceder datos a Facebook; tener fallos de seguridad Zero Day que permitirían secuestrar los equipos;  y que solamente ha sido subsanado cuando terceros ajenos a dicha empresa se han tomado la molestia de comprobar lo que es posible verificar sin tener el código, simplemente no puede ser fiable.
  • Una empresa que había engañado con su política de privacidad declarando primero en sus términos que usaba cifrado de extremo a extremo para luego reconocer, ante denuncias de terceros, que no era cierto que lo hubieran implementado, pone de relieve que la solución tech cuya privacidad no se puede auditar no se puede usar. Los clientes deben usar soluciones Zero Trust y Open Source (Sobre esto hablaremos otro día).
  • Carece de sentido que las empresas estén firmando cláusulas de confidencialidad a sus directivos y empleados para que luego todo lo que hablen a través de plataformas de este tipo pueda ser grabado, escuchado por cualquiera. No tiene sentido tampoco que las empresas hablen de proteger su know how y luego no elijan soluciones que lleven cifrado de extremo a extremo.
  • Las brechas de privacidad generan enormes minusvalías económicas y reputacionales. Zoom ha perdido un tercio de su valor en bolsa tras los escándalos sobre las vulneraciones de privacidad.