ZOOM y su experiencia de negocio
Adrián Bustamante adrian.bustamante@cpic.cr | Jueves 23 abril, 2020
La emergencia sanitaria que actualmente atraviesa Costa Rica y el mundo, está provocando mucha preocupación y miedo entre los seres humanos, pero también ha generado muchas oportunidades de negocio y de crecimiento para profesionales y empresas, como es el caso de ZOOM.
ZOOM desde el año 2011 se ha conocido principalmente como plataforma para realización de videoconferencias. La forma de convocar una reunión en ZOOM consiste en que el responsable de crearla en la aplicación envíe un enlace a los demás asistentes, que pueden así acceder, aunque no tengan cuenta en el servicio. Esta característica ha ayudado mucho a su popularidad.
Esta empresa durante el mes de marzo 2020, tuvo un crecimiento exponencial al pasar de 10 millones de usuarios a 200 millones cada día y esto le representó a la empresa un aumento en su valor que los llevó por encima de muchas otras grandes empresas como por ejemplo de aerolíneas muy reconocidas.
Pero con el gran crecimiento vino el escrutinio y es allí donde se detecta múltiples vulnerabilidades y se genera preocupaciones de privacidad. Incluso importantes organizaciones y personajes emiten advertencias de seguridad sobre ZOOM y aparecen términos como Zoombombing, término para describir el ingreso de personas no invitadas a las videoconferencias (una simple búsqueda en Google de URLs que incluyen el término "zoom.us" puede arrojar vínculos sin protección de múltiples reuniones en las que cualquiera podría ingresar). Este ingreso se presta para que terceras personas interfieran en la actividad normal de las reuniones (En algunos casos los intrusos compartían contenidos sexuales explícitos, incluso a niños que asistían a clases online) y además que puedan capturar información confidencial de las personas y empresas involucradas en las mismas (tomando el control del micrófono y la cámara web y grabar sus contenidos). Principalmente se produce cuando las reuniones se crean sin uso de contraseña o de la función de sala de espera y más aún en los casos que se publica en redes sociales los ID de las reuniones.
También se encontró exploits de día cero que permitían tener el control de las computadoras, exposición de credenciales de acceso de Windows y otras vulnerabilidades que ponía en riesgo a quienes tuviesen la aplicación en sus dispositivos móviles, pero en su mayoría han sido corregidos con varias actualizaciones que han publicado durante el último mes y el CEO de ZOOM asegura que en un máximo de tres meses la totalidad de vulnerabilidades serán corregidas.
Y por otro lado que también es importante de mencionar, ciberdelincuentes han utilizado sitios web desde los cuales se engaña al usuario para descargar versiones no oficiales de ZOOM, las cuales contienen software malicioso para secuestrar información y extorsionar. Por lo cual la seguridad también depende de cuidados que los usuarios tomen.
Algunos dicen que ZOOM está pagando el precio de las decisiones bien intencionadas que tomó al principio de la crisis del coronavirus, como abrir la plataforma de forma gratuita a los profesionales médicos y eliminar el límite de tiempo en la versión gratuita para muchas instituciones educativas. Esto debe llevar a pensar a empresarios y profesionales en muchos detalles antes de tomar la oportunidad de crecer rápidamente, por ejemplo:
- Contar con la capacidad para atender la demanda. Tanto a nivel de infraestructura, como de asegurar la privacidad y seguridad de la totalidad de los nuevos clientes.
- Analizar si todos los clientes potenciales son los que quiero tener y si están acorde con mi línea de negocio.
- Tomar en cuenta que el atender los nuevos clientes, podría llevarme a desatender los clientes actuales y perderlos.
- Tener claro que una mayor exposición me generará un mayor escrutinio e incluso ataques de la competencia y tal vez hasta ser blanco de un mayor número de ciberdelincuentes.
Las prácticas para evitar malas experiencias con el uso de esta aplicación, en parte son las mismas que en general debemos tener con cualquier aplicación, pero también hay algunas prácticas específicas para esta, acá listamos las principales:
1. Mantener el sistema operativo actualizado (aplica tanto para computadoras como para celulares
o tabletas).
2. Tener un antivirus instalado (en todos nuestros dispositivos).
3. Estar pendiente de las actualizaciones de cada aplicación, ya que estas podrían corregir la
mayoría de vulnerabilidades y disminuir nuestra exposición a los riesgos.
4. No abrir correos electrónicos o archivos con remitentes desconocidos, tener cuidado con links
recibidos por los distintos servicios de mensajería instantánea, evitar navegar por páginas no
seguras y verificar la procedencia y desarrolladores de las aplicaciones.
5. Instalar únicamente aplicaciones desde las tiendas o páginas oficiales. Ahora bien, el hecho de
que estén en Google Play o en la Apple Store no quiere decir que sean totalmente confiables.
6. Así mismo, siempre se recomienda tener una copia de seguridad actualizada de nuestros
dispositivos, para en caso de ser víctima de secuestro de nuestra información, no recurrir al pago
de rescate y no seguir promoviendo esta actividad.
7. Cambios en parametrización de ZOOM:
- Usar una contraseña segura (al menos 11 caracteres, con mayúsculas, minúsculas,
números y caracteres especiales) y única para el ingreso a la plataforma (no utilizar
contraseñas que tengamos en uso en otras plataformas como el correo electrónico y
mucho menos en plataformas bancarias o similares).
- Crear un ID aleatorio para cada reunión.
- Activar la función de “sala de espera”, para aprobar el ingreso de las personas una a una.
- Inhabilitar la opción de unirse antes de que llegue el anfitrión.
- Inhabilitar la transferencia de archivos mediante el chat.
- Inhabilitar el compartir pantallas, para quien no sea el anfitrión.
- Cerrar la sesión, una vez que la misma ya inició, para evitar que durante la misma ingresen personas que no debieran y que tal vez por desconcentración al estar en media reunión pudiésemos aceptar pasar de la sala de espera. Aún así, si implementando las recomendaciones se nos llegara a filtrar alguien sin autorización, durante la sesión podemos bloquear o silenciar a dicho infiltrado.
Es importante recalcar, que este artículo no pretende crucificar a ZOOM, sino tomarlo como ejemplo para empresas y profesionales, antes de aventurarse en una oportunidad que se les presente.
No hay plataforma cien porciento segura y esperamos que ZOOM logre su objetivo de corregir todas sus vulnerabilidades, ya que tiene muchas características muy útiles para los tiempos que estamos enfrentando. Y es indiscutible que gran parte de la seguridad de nuestras actividades depende de nosotros mismos, de estar informados, actualizados y de dar el mejor uso a las distintas plataformas del mercado.
Adrián Bustamante
Miembro de la Comisión de Ciberseguridad del CPIC.