La enorme popularidad que está ganando Zoom debido al confinamiento global está provocando que salgan a la luz más y más detalles acerca de su seguridad, privacidad y otro tipo de prácticas. Las dudas al respecto de la seguridad del servicio sin embargo no parecen ser nuevas, diferentes ex empleados de Dropbox aseguran que la empresa pagó a hackers para encontrar vulnerabilidades en su socio Zoom y así presionar a que mejore su seguridad.
Según declaraciones a NYT, en 2018 Dropbox apostó por incentivar a hackers y expertos en seguridad para que encontrasen bugs en Zoom y otros servicios con los que Dropbox era socio. Había dos razones principales para hacerlo, la primera es que algunos de los ejecutivos de Dropbox habían invertido también en Zoom, por lo que les convenía que el servicio mejorase. Por otro lado Zoom es una herramienta de comunicación que si bien se ha popularizado ahora, lleva años usándose en el entorno empresarial/tecnológico, y Dropbox también lo ha estado usando de forma interna durante años, de ahí que les interesase que fuese seguro.
En abril de 2019 Dropbox celebró un evento de seguridad en Singapur en el que se animaba a los hackers a encontrar vulnerabilidades tanto en los productos de Dropbox como en los de sus socios. Comentan que uno de los servicios que pudieron hackear fue Zoom mediante una vulnerabilidad que les permitía hacerse con el control de ordenadores Mac. A pesar de que Dropbox comunicó el problema a Zoom, estos tardaron meses en solucionarla y sólo cuando una vulnerabilidad similar apareció de forma pública.
Otras prácticas en Dropbox incluyen por ejemplo la creación de una app clon de Zoom llamada Vroom. En esta se animaba a los empleados a hackearla y así descubrir las vulnerabilidades existentes también en Zoom. La idea era que los empleados aprendiesen qué errores no cometer como había hecho Zoom. Finalmente también se comenta que funciones como la sala de espera virtual fue una medida que Dropbox incitó a Zoom a implementar.
La reacción de Zoom
La enorme popularidad ha cogido a Zoom por sorpresa. Un servicio que nunca fue diseñado para una masa tan grande de usuarios y centrado desde un principio en el sector empresarial. La exposición de vulnerabilidades y dudas de privacidad, aunque necesarias, personas relevantes del sector tecnológico las tildan de injustas. Alex Stamos, ex director de Facebook y ahora asesor de Zoom, indica que "No creo que muchas de estas cosas fueran predecibles". Ingenieros de Dropbox sin embargo dicen que estos problemas llevan arrastrándose años, como las prácticas de Dropbox hacia Zoom lo sugieren.
Zoom por su parte ha reaccionado a todos estos problemas anunciando un total de 90 días dedicados exclusivamente a mejorar la seguridad y privacidad del servicio sin centrarse en añadir nuevas características. Una estrategia de contención con la que esperan mejorar las herramientas y medidas de seguridad de Zoom de cara a los usuarios y sobre todo al nuevo enfoque del servicio que ya no es tan empresarial y más comercial con presencia en hogares, escuelas y todo tipo de organismos.
_Desde Xataka nos hemos puesto en contacto con Zoom para ver cuál es su posición al respecto. La compañía ha hecho referencia a su plan de 90 días para mejorar la seguridad mencionado previamente y añaden:_
“Zoom se toma muy en serio la privacidad, la seguridad y la confianza del usuario. Agradecemos a los investigadores y socios de la industria que nos han ayudado - y siguen haciéndolo - a identificar los problemas mientras buscamos continuamente fortalecer nuestra plataforma.“
Vía | NYT
Ver 6 comentarios