Zoom ha visto un aluvión de nuevos usuarios a medida que el brote de COVID-19 obliga a más y más empleados a hacer la transición al trabajo desde casa. El gran punto de venta de Zoom son las videollamadas casi sin fricción.
Sin embargo, los nuevos usuarios deben ser conscientes de las prácticas de privacidad de la compañía. Al revisar su política de privacidad y algunos de sus documentos de apoyo, rápidamente descubrirá que Zoom permite a su jefe rastrear su atención durante las llamadas, comparte las copiosas cantidades de datos que recopila con terceros y ya ha tenido una importante vulnerabilidad de seguridad.
Creemos que es importante que nuestra comunidad sea consciente de estos problemas, y este post analiza cada uno de ellos en detalle. Al final, ofreceremos algunas sugerencias sobre lo que puede hacer para protegerse mientras usa Zoom.
Zoom sabe si estás prestando atención a la llamada
Cada vez que se realiza una llamada, se tiene la opción de activar la función de seguimiento de la atención de los asistentes de Zoom. Esta función avisa al anfitrión de la llamada cuando alguien en la llamada “no tiene el Cliente de escritorio de Zoom o la Aplicación móvil en el punto de mira durante más de 30 segundos”. En otras palabras, si estás en una llamada de Zoom y haces clic lejos de Zoom, el anfitrión de la llamada será notificado después de 30 segundos, independientemente de si has minimizado Zoom para tomar notas, revisar tu correo electrónico o responder a una pregunta en otra aplicación.
Esta función sólo funciona si alguien en la llamada está compartiendo su pantalla. No está claro si se notifica a los asistentes de una llamada si se está utilizando el seguimiento de la atención en una llamada.
Por supuesto, el hecho de que no estés viendo la pantalla con zoom no significa que no estés prestando atención o trabajando. Además, esta característica no siempre puede medir de forma fiable si se ha hecho clic fuera de la llamada. Sólo funciona en la versión 4.0 o posterior de las aplicaciones de Zoom y no es tan fiable si asistes a una llamada de Zoom a través de tu navegador web en lugar de una aplicación.
También debes tener en cuenta que si un anfitrión decide grabar la llamada para poder reproducirla más tarde, Zoom guarda un archivo TXT de los mensajes de chat de la reunión y lo comparte con tu jefe. Según su página de soporte sobre el tema, “el chat guardado sólo incluirá mensajes del anfitrión y de los panelistas a todos los participantes”. Sin embargo, no aclara qué pasará con los mensajes directos entre los asistentes.
Zoom y la privacidad con respecto a los datos
Zoom no sólo rastrea tu atención, sino que te rastrea a ti.
Según la política de privacidad de la empresa, Zoom recopila montones de datos sobre usted, incluyendo su nombre, dirección física, dirección de correo electrónico, número de teléfono, puesto de trabajo, empleador. Incluso si no te haces una cuenta con Zoom, éste recopilará y guardará datos sobre el tipo de dispositivo que estás usando y tu dirección IP. También recopila información de su perfil de Facebook (si utiliza Facebook para iniciar sesión) y cualquier “información que cargue, proporcione o cree mientras utiliza el servicio”.
Algunos de estos datos los introduces tú mismo cuando te conectas (por ejemplo, para participar en una llamada en línea, debes dar tu correo electrónico) pero gran parte de ellos son recogidos automáticamente por la aplicación Zoom.
En su política de privacidad, bajo la entrada “¿Vende Zoom mis datos personales?” la política dice: “Depende de lo que entienda por ‘vender'”. Para resumir la política de Zoom, dicen que no venden datos personales por dinero a terceros, pero sí comparten datos personales con terceros para los “fines comerciales” de esas empresas. Y eso puede incluir pasar su información personal a Google.
El error (de piratería) de la cámara
El año pasado, el consultor de seguridad Johnathan Leitschuch descubrió que Zoom instaló un servidor web local en el dispositivo Mac de un usuario que le permitía eludir las funciones de seguridad de Safari 12. Este servidor web no se mencionó en ninguna de las documentaciones oficiales de Zoom. Se usó para evitar una ventana emergente que Safari 12 mostraría antes de encender la cámara del dispositivo.
Sin embargo, este servidor web remoto tampoco estaba asegurado adecuadamente. Casi cualquier sitio web podía interactuar con él. El resultado fue que Zoom permitió que sitios web maliciosos se apoderaran de la cámara de tu Mac sin avisarte.
Esta vulnerabilidad de Zoom es una locura. Probé uno de los enlaces de prueba de concepto y me conecté con otros tres randos que también se volvieron locos por ello en tiempo real.
– Matt Haughey (@mathowie) 9 de julio de 2019
Esto llevó al Centro de Información de Privacidad Electrónica a presentar una queja de la FTC contra Zoom, alegando que Zoom “diseñó intencionadamente su servicio de conferencias web para eludir los ajustes de seguridad del navegador y habilitar a distancia la cámara web de un usuario sin el conocimiento o consentimiento del usuario”.
Aunque Zoom ha eliminado desde entonces estos servidores web remotos, su enfoque arrogante para obtener el permiso del usuario y su desprecio por la seguridad y la privacidad en la búsqueda de la conveniencia plantean serias dudas sobre la confianza.
Cómo puedes proteger sus datos
A medida que el Zoom se convierte en la herramienta estándar de videoconferencia, hay algunos pasos que puede tomar para mantener sus datos seguros.
- Utilice dos dispositivos durante las llamadas con Zoom: Si asiste a una llamada de Zoom en su ordenador, utilice su teléfono para revisar su correo electrónico o chatear con otros asistentes a la llamada. De esta manera no activará la alerta de seguimiento de atención.
- No utilice Facebook para iniciar sesión: Puede ahorrar tiempo, pero es una práctica de seguridad deficiente y aumenta drásticamente la cantidad de datos personales a los que Zoom tiene acceso.
- Mantenga su aplicación de Zoom actualizada: Zoom eliminó el servidor web remoto de las últimas versiones de sus aplicaciones. Si ha descargado Zoom recientemente, no hay necesidad de preocuparse por esta vulnerabilidad específica.
Reconocemos que trabajar desde casa va a requerir una reconfiguración de la forma en que las empresas, oficinas y empleados trabajan. Sin embargo, la privacidad personal de los trabajadores no debe ser sacrificada en esta transición.
Ahora que las oficinas están cerradas, es más importante que nunca que los trabajadores recuerden las pautas de seguridad.
Via
Zoom ha visto un aluvión de nuevos usuarios a medida que el brote de COVID-19 obliga a más y más empleados a hacer la transición al trabajo desde casa. El gran punto de venta de Zoom son las videollamadas casi sin fricción.
Sin embargo, los nuevos usuarios deben ser conscientes de las prácticas de privacidad de la compañía. Al revisar su política de privacidad y algunos de sus documentos de apoyo, rápidamente descubrirá que Zoom permite a su jefe rastrear su atención durante las llamadas, comparte las copiosas cantidades de datos que recopila con terceros y ya ha tenido una importante vulnerabilidad de seguridad.
Creemos que es importante que nuestra comunidad sea consciente de estos problemas, y este post analiza cada uno de ellos en detalle. Al final, ofreceremos algunas sugerencias sobre lo que puede hacer para protegerse mientras usa Zoom.
Zoom sabe si estás prestando atención a la llamada
Cada vez que se realiza una llamada, se tiene la opción de activar la función de seguimiento de la atención de los asistentes de Zoom. Esta función avisa al anfitrión de la llamada cuando alguien en la llamada “no tiene el Cliente de escritorio de Zoom o la Aplicación móvil en el punto de mira durante más de 30 segundos”. En otras palabras, si estás en una llamada de Zoom y haces clic lejos de Zoom, el anfitrión de la llamada será notificado después de 30 segundos, independientemente de si has minimizado Zoom para tomar notas, revisar tu correo electrónico o responder a una pregunta en otra aplicación.
Esta función sólo funciona si alguien en la llamada está compartiendo su pantalla. No está claro si se notifica a los asistentes de una llamada si se está utilizando el seguimiento de la atención en una llamada.
Por supuesto, el hecho de que no estés viendo la pantalla con zoom no significa que no estés prestando atención o trabajando. Además, esta característica no siempre puede medir de forma fiable si se ha hecho clic fuera de la llamada. Sólo funciona en la versión 4.0 o posterior de las aplicaciones de Zoom y no es tan fiable si asistes a una llamada de Zoom a través de tu navegador web en lugar de una aplicación.
También debes tener en cuenta que si un anfitrión decide grabar la llamada para poder reproducirla más tarde, Zoom guarda un archivo TXT de los mensajes de chat de la reunión y lo comparte con tu jefe. Según su página de soporte sobre el tema, “el chat guardado sólo incluirá mensajes del anfitrión y de los panelistas a todos los participantes”. Sin embargo, no aclara qué pasará con los mensajes directos entre los asistentes.
Zoom y la privacidad con respecto a los datos
Zoom no sólo rastrea tu atención, sino que te rastrea a ti.
Según la política de privacidad de la empresa, Zoom recopila montones de datos sobre usted, incluyendo su nombre, dirección física, dirección de correo electrónico, número de teléfono, puesto de trabajo, empleador. Incluso si no te haces una cuenta con Zoom, éste recopilará y guardará datos sobre el tipo de dispositivo que estás usando y tu dirección IP. También recopila información de su perfil de Facebook (si utiliza Facebook para iniciar sesión) y cualquier “información que cargue, proporcione o cree mientras utiliza el servicio”.
Algunos de estos datos los introduces tú mismo cuando te conectas (por ejemplo, para participar en una llamada en línea, debes dar tu correo electrónico) pero gran parte de ellos son recogidos automáticamente por la aplicación Zoom.
En su política de privacidad, bajo la entrada “¿Vende Zoom mis datos personales?” la política dice: “Depende de lo que entienda por ‘vender'”. Para resumir la política de Zoom, dicen que no venden datos personales por dinero a terceros, pero sí comparten datos personales con terceros para los “fines comerciales” de esas empresas. Y eso puede incluir pasar su información personal a Google.
El error (de piratería) de la cámara
El año pasado, el consultor de seguridad Johnathan Leitschuch descubrió que Zoom instaló un servidor web local en el dispositivo Mac de un usuario que le permitía eludir las funciones de seguridad de Safari 12. Este servidor web no se mencionó en ninguna de las documentaciones oficiales de Zoom. Se usó para evitar una ventana emergente que Safari 12 mostraría antes de encender la cámara del dispositivo.
Sin embargo, este servidor web remoto tampoco estaba asegurado adecuadamente. Casi cualquier sitio web podía interactuar con él. El resultado fue que Zoom permitió que sitios web maliciosos se apoderaran de la cámara de tu Mac sin avisarte.
Esta vulnerabilidad de Zoom es una locura. Probé uno de los enlaces de prueba de concepto y me conecté con otros tres randos que también se volvieron locos por ello en tiempo real.
– Matt Haughey (@mathowie) 9 de julio de 2019
Esto llevó al Centro de Información de Privacidad Electrónica a presentar una queja de la FTC contra Zoom, alegando que Zoom “diseñó intencionadamente su servicio de conferencias web para eludir los ajustes de seguridad del navegador y habilitar a distancia la cámara web de un usuario sin el conocimiento o consentimiento del usuario”.
Aunque Zoom ha eliminado desde entonces estos servidores web remotos, su enfoque arrogante para obtener el permiso del usuario y su desprecio por la seguridad y la privacidad en la búsqueda de la conveniencia plantean serias dudas sobre la confianza.
Cómo puedes proteger sus datos
A medida que el Zoom se convierte en la herramienta estándar de videoconferencia, hay algunos pasos que puede tomar para mantener sus datos seguros.
Reconocemos que trabajar desde casa va a requerir una reconfiguración de la forma en que las empresas, oficinas y empleados trabajan. Sin embargo, la privacidad personal de los trabajadores no debe ser sacrificada en esta transición.
Ahora que las oficinas están cerradas, es más importante que nunca que los trabajadores recuerden las pautas de seguridad.
Via
Compartir esto: