Menú

Uso de Zoom en UP academia

(Informe actualizado el 10 de abril de 2020)

En UP academia hemos estado siguiendo las noticias sobre los problemas de seguridad de Zoom desde que nos llegaron sobre el día 7 de abril.

En UP academia seleccionamos Zoom como nuestra aplicación de videoconferencia dada su reputación de buen funcionamiento, sin problemas en la transmisión de audio y vídeo, como parece haber quedado demostrado por el uso que hemos venido haciendo de él desde el lunes 16 de marzo.

Si bien Zoom tiene una versión gratuita y es libre para el uso de los alumnos, UP academia ha comprado varias licencias para mejorar las funcionalidades de la aplicación.

No obstante lo anterior, es cierto que ha habido algunos problemas para conectarse a las videoconferencias concentrados sobre las 17.30 y para grupos de inglés.

Dada la alarma generada sobre Zoom este artículo pretende ofrecer algo de luz y discernir si es conveniente seguir usando Zoom para las clases por videoconferencia en UP academia.

Para ello recurrimos a las fuentes, si bien reconocemos que no somos expertos en ciberseguridad.

Recomendación UP academia

A fecha 10 de abril de 2020.

Tras hacer un seguimiento detallado de las fuentes, que puedes seguir más abajo, las conclusiones que sacamos son:

  1. No creemos que las vulnerabilidades detectadas invaliden su uso en UP academia dadas las acciones tomadas por Zoom y las recomendaciones del Incibe, del Grupo de Criptografía del CNI y la aclaración del bulo atribuido a la Guardia Civil.
  2. Es necesario actualizar a la última versión de Zoom que podéis descargar de su Centro de Descarga
  3. Es necesario seguir usando las contraseñas de reunión para evitar intromisiones, que no se han dado en el caso de UP academia.

Si se hicieran públicas nuevas noticias o alertas de Organismos solventes actualizaríamos estas recomendaciones.

Informe del Citizen Lab de la Universidad de Toronto

La primera alarma sobre Zoom sonó por el informe que el Citizen Lab de la Universidad de Toronto emitió sobre Zoom el 3 de abril (Pulsa AQUI para ir al informe)

  1. En él se le achacan los siguientes problemas:
  2. Uso de clave de encriptado AES-128 en modo ECB, en vez del stadard de la industria (AES-256).
  3. Claves de encriptado generadas por servidores de Zoom.
  4. Uso de sevidores en China.
  5. Problema de seguridad con las salas de espera.

El informe concluye que a la vista de los problemas de seguridad, desaconseja su uso cuando se requiere un alto grado de confienencialidad y seguridad:

  • Gobiernos preocupados por el espionaje
  • Negocios preocupados por el cibercrimen y el espionaje industrial
  • Proveedores de servicios de saludo que manejan información sensible de pacientes
  • Activistas, abogados y periodistas trabajando en temas sensibles.

El informe dice expresamente:
«Para aquellos que usan Zoom para mantenerse en contacto con amigos, hacer eventos sociales u organizar cursos o conferencias que se hiciesen en lugares públicos o semipúblicos, nuestros resultados no tienes por que preocuparles necesariamente»

Informe del Citizen Lab sobre la vulnerabilidad de las Salas de Espera de Zoom

En este informe de fecha 8 de abril (Pulsa AQUI para verlo) Citizen Lab da detalles sobre la vulnerabilidad de las salas de espera de Zoom, donde un asistente en espera podría recibir en su ordenador el streaming de vídeo y la clave de descifrado, si bien no recibe el audio.

El informe reconoce que «siendo crítico para los usuarios tener la información que necesitan para mantenerse protegidos, también es importante evitar sobrereacciones a las debilides de seguridad», reafirmándose en lo expuesto en su informe original de que «los fallos detectados hasta el momento no deberían preocupar a los que usan Zoom para mantenerse en contacto con amigos, celebrar eventos sociales u organizar cursos o conferencias que serían celebrados igualmente en lugares públicos os semipúblicos».

En el informe Citizen Lab reconoce los pasos dados por Zoom para mejorar los aspectos de seguridad, su rápida reacción y la actitud mostrada, finalizando textualmente:
«Estos pasos son una base firme para la nueva orientación de la compañía. Si Zoom continúa en esta dirección, su respuesta puede servir como un modelo para otras compañías que afronten problemas similares»

FAQ sobre problemas de seguridad en Zoom de Citizen Lab

En este artículo de la sección de noticias de Citizen Lab de fecha 8 de abril (Pulsa AQUI para acceder al artículo original) tratan de responder a las preguntas más frecuentes que ha suscitado su artículo de fecha 3 de abril y trata de «corregir perspectivas erróneas» sobre su investigación.

En el apartado «¿Es seguro usar Zoom para acatividades semipúblicas o públicas como apuntarse a un curso o mantenerse en contacto con falilia y amigos?» se reafirman en lo dicho en informes anteriores.

Indican que «algunos ministerios de educación (Taiwan) y administradores de escuelas públicas (Nueva York) han tomado la decisión de prohibir el uso de Zoom debido a problemas de seguridad y privacidad. La decisión de que plataformas usar para comunicaciones institucionales tiene que contrapesar un abanico de riesgos y requisitos. Sin embargo, basándonos en nuestra investigación, no vemos la necesidad de prohibir Zoom para usos en los que no se requieren robustas medidas de confidencialidad»

El artículo cita que Zoom publicó una actualización que añadió medidas adicionales de seguridad.

Aviso de Incibe

El 6 de abril el Instituto de Ciberseguridad (Incibe), dependiente del Ministerio de Asuntos Económicos y Transformación Digital, publicó un aviso de importancia alta, 4 sobre 5, sobre la «vulnerabilidad descubierta en el sistema de videoconferencia Zoom» (Pulsa AQUI para ir acceder al artículo orginal).

El aviso se refiere a «usuarios de Zoom para Windows con versiones anteriores a la 4.6.9.».

El problema detectado es «una vulnerabilidad para los usuarios de Windows que podría permitir a un ciberdelincuentes robar información confidencial y ejecutar archivos en el dispositivo de la víctima».

La solución es «actualizar a la última versión disponible de Zoom».

Aviso del Centro Criptológico Nacional

El Centro Criptológico Nacional, dependiente del CNI, Ministerio de Defensa, publicó el 5 de abril un aviso de de vulnerabilidad en Zoom (Pulsa AQUÍ para acceder al documento original).

El problema detectado se centra en la funcionalidad de chat: «La aplicación cuenta con una función de chat que permite convertir las rutas UNC de red de Windows en hipervínculos para que otros miembros puedan hacer clic en ellas y, así, compartir archivos de forma remota… Esto podría permitir a un posible atacante obtener las credenciales del usuario engañando a la víctima para que, previamente, haga clic en un hipervínculo dañino. … Además, expertos en seguridad han notificado que un posible atacante podría aprovechar la creación de hipervínculos para ejecutar archivos locales en el sistema víctima sin que este pueda percatarse.»

La recomendación que hacen: «El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que actualicen a la nueva versión de Zoom, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.»

Tweet Guardia Civil

Por grupos de Whatsapp ha circulado un supuesto tweet de la Guardia Civil del 1 de abril, con recomendaciones sobre su borrado, que parece claramente un bulo, dado el lenguaje empleado y que el Estado dispone de servicios específicos para difundir alertas.

El enlace a Twitter no lleva a ninguma indicación de borrar cuentas.

Aquí el enlace: