Las apps organizativas han visto un crecimiento espectacular en plena cuarentena por el coronavirus. Un buen ejemplo es Zoom, una app que nos permite efectuar videollamadas corporativas con bastantes funciones útiles. El problema es que la app no es especialmente segura con nuestra privacidad.

Noticias relacionadas

Según informa ProtonMail, la app tiene un par de cuestiones de privacidad que, cuanto menos, escaman. Revisando las políticas de privacidad que nos encontramos en Zoom vemos rápidamente algunos problemas, como por ejemplo, que nuestro jefe tenga la capacidad de "rastrear" nuestra atención durante las llamadas.

No es el único "pero" de Zoom, ya que además de la atención de nuestro jefe recopila una gran cantidad de datos con terceros. Esto no sería algo raro, lo hacen todas las firmas prácticamente en su totalidad... si no fuera porque Zoom ya ha tenido problemas de seguridad.

Zoom y su mal enfoque

Uno de los primeros problemas que tiene Zoom es la atención a la llamada. Cada vez que hacemos una llamada con Zoom, la app tiene la opción de activar una función de seguimiento de atención Esto quiere decir que, en caso de que el invitado a la llamada (por ejemplo, el empleado) no tenga el cliente de Zoom o la app móvil abierto en primer plano durante al menos 30 segundos, el anfitrión de la llamada es advertido.

Esto puede sonar correcto. Al fin y al cabo es una llamada con tu jefe o con un compañero de trabajo que necesita de tu ayuda, por lo que lo lógico es que estemos atentos. El problema es el enfoque; precisa que tengamos Zoom siempre abierto e, inevitablemente, si necesitamos hacer cualquier otra cosa tendremos que dejar de tener Zoom abierto. Por lo tanto, podemos estar dándole a nuestro jefe o compañero la falsa idea de que no estamos ateniendo.

Porque ese es el problema: Zoom no distingue si estás, por ejemplo, revisando el correo, atendiendo otra aplicación, tomando notas, etcétera. Es cierto que esta función solo funciona si alguien en la llamada comparte su pantalla, pero no está claro si los asistentes a la misma están notificados en caso de que se use una llamada. Por otra parte, esto es difícil de calibrar, ya que hay muchas situaciones en las que dejamos de estar en la app para hacer otras cosas, no necesariamente sin estar atendiendo.

Datos de terceros y privacidad

Reunión.

Otras funciones también están salpicadas de cuestiones de privacidad. Por ejemplo, si el anfitrión decide grabar la llamada, Zoom de forma automática guardará un archivo .txt que incluirá también los mensajes de la llamada. La web de soporte de Zoom aclara que el chat gguardado "solo incluirá mensajes del anfitrión y de los participantes en la misma", pero no acalara qué ocurre con los mensajes privados entre los asistentes.

En la política de privacidad de Zoom vemos también problemas. Zoom recopila una cantidad de datos innecesariamente grande que incluyen nombre, dirección de correo electrónico, dirección física, número de teléfono, etcétera. De hecho, si no creamos una cuenta con Zoom, recopilará y mantendrá datos sobre el tipo de dispositivo que usamos y nuestra dirección IP. Algo que, desde luego, no es muy necesario para realizar llamadas.

Recopila, además, información de nuestro perfil de Facebook en caso de usarlo para iniciar sesión, y recopila también cualquier inormación "que se cargue, proporcione o cree mientras se usa el servicio". El problema es que para usar Zoom debemos obligatoriamente usar estos datos, como nuestro correo electrónico.

Webcam.

El año pasado, el experto en seguridad Johnathan Leitschuch descubrió que Zoom configuró un servidor web local en el mac de un usuario que, entre otras cosas, permitía a Zoom esquivar funciones de seguridad del navegador Safari 12. Como es de esperar, el servidor no se mencionaba en los documentos oficiales, y este se usó para omitir una ventana emergente que Safari 12 mostraría antes de encender la cámara del Mac. ¿Podría haber intentado Zoom encender la cámara sin que el usuario lo supiera?

En todo caso ni siquiera el servidor web estaba protegido de forma correcta. Casi cualquier sitio podía interactuar y el resultado fue que Zom permitiese que sitios web no muy seguros pudieran hacerse con la cámara del Mac. Se presentó una queja en la FTC norteamericana contra Zoom, alegando que la app "diseñó intencionalmente su servicio de conferencia web para omitir la configuración de seguridad del navegador y habilitar remotamente la cámara web de un usuario sin el conocimiento del mismo".