en Protección de Datos Personales

Zoom, la aplicación de moda durante la pandemia que no deberías usar [Actualizado]

En esta coyuntura de la pandemia del Covid-19, tanto trabajar en remoto como romper el aislamiento social fruto de la reclusión ha hecho que se recurran a herramientas de video conferencia.

La herramienta de referencia en los últimos años simpre ha sido Skype. Últimamente destaca una plataforma que se llama Zoom. Sin embargo, Zoom no debería usarse porque no protege la intimidad profesional ni personal.

Zoom realiza un excesivo control sobre los participantes de las videollamadas que podría vulnerar el derecho a la intimidad del trabajador, así como su derecho a que no se recojan de él más datos que los imprescindibles.

A nivel profesional, Zoom permite a los empleadores rastrear la atención de los empleados durante las llamadas. Así es, cuando se usa para compartir pantalla, la plataforma avisa al organizador de la llamada cuando alguien no tiene el cliente de escritorio o la aplicación móvil en foco por más de 30 segundos, lo cual puede suceder con cierta frecuencia porque se puede haber minimizado para tomar notas, revisar un correo electrónico del que se está hablando o responder a una pregunta en otra aplicación.

Zoom recoge abundantes cantidades de datos que comparte y recopila con terceros.

Por otra parte, según la política de privacidad de la empresa, Zoom recoge múltiples  datos sobre el usuario, tales como: nombre, dirección física, dirección de correo electrónico, número de teléfono, puesto de trabajo, empleador.

Incluso si no te registras en Zoom, pero lo usas, este recogerá y guardará datos sobre el tipo de dispositivo que usas al conectarte y la dirección IP desde la que lo haces. También recopila información del perfil de Facebook (si utilizas Facebook para iniciar sesión) y cualquier “información que cargue, proporcione o cree mientras utiliza el servicio”.

Una aplicación que se expresa con absoluta ambigüedad en su política de privacidad ya debe hacernos sospechar. En su site se puede leer “¿Vende Zoom datos personales?” la política dice: “Depende de lo que entienda por ‘vender'” y luego vienen a decir que no venden datos personales por dinero a terceros, pero sí comparten datos personales con terceros para los “fines comerciales” de esas empresas.

En su política de privacidad, afirma que puede transferir tu información personal a Google, el traficante de datos personales por excelencia. ¿Por qué tendría que tener Google datos personales de una video llamada? ¿Son de análisis? ¿Son las conversaciones? ¿Son otros metadatos?

Además, se ha sabido que la aplicación Zoom hecha para iOS comparte una cantidad sustancial de datos del usuario con Facebook, incluso aunque el usuario no tenga una cuenta en la red social. ¿Para qué necesita Facebook estos datos? ¿Están anonimizados?

Estos datos incluyen la hora en que se abre la aplicación, detalles sobre el dispositivo que está utilizando, la zona horaria y la ciudad desde la que se está conectando, el proveedor de telefonía que está utilizando y el identificador único del anunciante de su dispositivo. Zoom no menciona el envío de datos a Facebook en ninguna parte de su política de privacidad.

Finalmente, por si lo anterior fuera poco, la seguridad de la aplicación ha quedado en entredicho y Zoom ha sido denunciada oficialmente por el Centro de Información de Privacidad Electrónica de la FTC  alegando que intencionadamente diseñó su servicio de conferencias web para evadir los ajustes de seguridad del navegador y habilitar remotamente la cámara web del usuario sin su conocimiento ni consentimiento.

Cuando se elige una herramienta, el primer criterio no debe ser si es muy fácil de usar;  o si tiene un diseño impecable o es gratuita. Eso nos puede valer para hacer una primera selección de búsqueda, pero, una vez ello, para decidir, el primer filtro para elegir una app debe ser si respeta la privadad y una vez se valida que sea cumplidora, se evalúan los demás criterios para optar por la que más interese.

¿Cómo podemos mantener video conferencias encriptadas? Podemos optar por usar soluciones como Wire que permite llamadas múltiples y están cifradas de punto a punto. Otras opciones accesibles y respetuosas con la privacidad son jitsi.org que se puede usar directamente (con llamadas cifradas punto a punto en las individuales) o instalar en servidor propio de fácilmente [Actualizado 2020/04/10 Es la aplicación que está usando el gobierno para hacer videoconferencias]. Otra opción muy recomendable por su versatilidad es recurrir a Riot. Finalmente, podemos usar una solución carente intermediario donde la comunicación se produce de dispositivo a dispositivo (peer-to-peer o p2p), robusta y veterana como Tox.

Actualización [2020/03/31]

En las últimas horas se ha conocido que Zoom no utiliza cifrado de extremo a extremo en sus comunicaciones, por lo que pueden ser accedidas por la empresa e interceptadas por terceros.

De acuerdo a la información publicada por The Intercept, los responsables de la compañía reconocen que han venido mintiendo sobre esta esencial característica por cuanto en su libro blanco así lo afirmaban: “Actualmente no es posible habilitar la encriptación E2E (de extremo a extremo) para las reuniones de vídeo de Zoom. Las videoconferencias de Zoom utilizan una combinación de TCP y UDP. Las conexiones TCP se hacen usando TLS y las conexiones UDP se encriptan con AES usando una clave negociada sobre una conexión TLS”.

En efecto, en el libro blanco de Zoom, la empresa hacía una serie de afirmaciones falsas en tal sentido al indicar la existencia de una relación de “capacidades de seguridad previas a la reunión” que están disponibles para el anfitrión de la reunión que comienza con “Habilitar una reunión cifrada de extremo a extremo (E2E)”; “Asegurar una reunión con encriptación E2E” como una “capacidad de seguridad durante la reunión” que está disponible para los anfitriones de la misma; ó cuando un anfitrión inicia una reunión con el ajuste “Requerir cifrado para puntos finales de terceros” activado, los participantes ven un candado verde que dice: “Zoom está utilizando una conexión cifrada de extremo a extremo” cuando pasan el ratón por encima de ella.

Actualización [2020/04/01]

Actualización [2020/04/04]

  • Elon Musk prohíbe a sus empleados usar Zoom debido a sus problemas de seguridads.
  • El FBI lanza una alerta sobre Zoom.
  • Nueva falla de seguridad de Zoom pone al descubierto miles de videoconferencias sobre terapia, Know How empresarial e información confidencial.
  • Una función de prospección de ventas de Zoom permitía a ciertos usuarios tener acceso a los perfiles de LinkedIn de otras personas durante una reunión sin notificárselo. Un análisis de The New York Times descubrió que cuando la gente se inscribía en una reunión, el software de Zoom enviaba automáticamente sus nombres y direcciones de correo electrónico a un sistema de la empresa que utilizaba para relacionarlos con sus perfiles de LinkedIn.
  • De acuerdo a este estudio, Zoom envía datos de credenciales a servidores chinos y tiene importantes fallos de encriptación incluso cuando se aplica.En efecto, parece que, si bien Zoom tiene su sede en los Estados Unidos y figura en el NASDAQ, la aplicación principal de Zoom parece haber sido desarrollada por tres empresas en China, todas las cuales tienen el nombre 软视软件 (“Ruanshi Software”). Dos de las tres empresas son propiedad de Zoom, mientras que una es propiedad de una entidad llamada 美国云视频软件技术有限公司 (“American Cloud Video Software Technology Co., Ltd.”) Los puestos de trabajo para Ruanshi Software en Suzhou incluyen puestos vacantes para codificadores de C++, desarrolladores de aplicaciones Android e iOS e ingenieros de pruebas. Además, el escaneo que se realizó mostró un total de cinco servidores en China y 68 en los Estados Unidos que aparentemente ejecutan el mismo software de servidor Zoom que el servidor de Beijing. Se sospecha que las claves pueden ser distribuidas a través de estos servidores. Una empresa que a veces distribuye claves de encriptación a través de servidores en China es potencialmente preocupante, dado que Zoom puede estar legalmente obligada a revelar estas claves a las autoridades en China.

Actualización [2020/04/07]

Actualización [2020/04/08]

  • Google prohíbe a sus empleados usar Zoom. Suponemos que entre los empleados usarán las soluciones propias de videoconferencia de Google y que el uso de Zoom sería con terceros, a iniciativa de los mismos.

Actualización [2020/04/09]

Actualización [2020/04/09]