La seguridad de Zoom sigue en el ojo del huracán a medida que gana decenas de miles de usuarios a diario. Las diferentes soluciones y herramientas de colaboración de la competencia están viendo como en un momento propicio para ganar nuevos clientes, esta empresa, que sólo tiene presencia en seis países de todo el mundo, se está llevando la mayor parte del pastel.
Sólo las informaciones que cuestionan la seguridad de Zoom han supuesto un ligero freno porque, tal y como ha asegurado durante un encuentro al que asistió Byte TI su CEO y fundador Eric Yuan, “en los últimos días hemos incorporado más de 300 millones de personas que han utilizado Zoom”.
La firma anunció hace unos días que empezaba a trabajar en un plan de 90 días para identificar y resolver cualquier problema de seguridad en la plataforma. “Zoom proporciona un servicio muy valioso tanto para empresas como para usuarios. Tenemos la confianza de usuarios y organizaciones de todo tipo: hospitales, empresas, colegios y universidades, …” La firma rechazó tajantemente todos los mensajes apocalípticos que aseguran que Zoom tiene múltiples fallos. De hecho, durante el encuentro, Brendan Ittelson CTO de la compañía sí reconoció que podía haber errores pero que “muchos de ellos se deben a la complejidad de la aplicación que hacían que el usuario no diera con una correcta configuración de las medidas de seguridad”. Por eso, Yuan afirmó que “en los próximos días lanzaremos la versión 5.0 en la que hemos realizado importantes mejoras entre ellas las opciones que tienen los administradores para gestionar las políticas de seguridad y además mejoramos la encriptación de las comunicaciones. Las próximas semanas lanzaremos la v 5.0 que incorpora las mejoras en encriptación. Además se permitirá denunciar a personas que accedan a una conversación para que no vuelva a poder ahacerlo.
Zoom mejora la seguridad tirando de talonario
El daño a Zoom a cuento de la seguridad de la solución ha hecho que la compañía haya tirado de talonario para contratar a los mejores especialistas en la materia para mejorar la seguridad de la aplicación. Entre otros, a este equipo galáctico se han incorporado Matthew Green, criptográfo de la Universidad Johns Hopkins y Lea Kissner, la exresponsable de privacidad de Google y que ha trabajado en cambiar el protocolo de cifrado de la herramienta. Durante el encuentro, Kissner explicó que “hemos actualizado Zoom al estándar de cifrado AES 256 bits GCM en vez del protocolo ECB ya que ofrece una mayor protección de los datos de reunión en tránsito y resistencia contra la manipulación. Esto mejora las garantías de confidencialidad e integridad en los datos de Zoom Meeting, Zoom Video Webinar y Zoom Phone”. La nueva versión Zoom 5.0, es compatible con el cifrado GCM, y este estándar entrará en vigor una vez que todas las cuentas estén habilitadas con GCM. Según han informado desde la compañía, esto tendrá lugar el próximo 30 de mayo.
El daño hecho a Zoom a cuento de la seguridad de la solución ha hecho que haya tirado de talonario para contratar a los mejores especialistas en ciberseguridad y encriptación
Otra de las acusaciones que se han estado haciendo estos días tiene que ver con la ubicación de los centros de datos de la compañía. Algunos de sus datacenters se encuentran en China, así que como solución, se descarta a los centros de datos ubicados en el Gigante Asiático. Por defecto, desde mañana viernes, los centros de datos y servidores ubicados en China quedarán excluidos de tal forma que como explicó Yuan “ningún dato pasará por China, ninguno. Será además el propio organizador el que decida, antes de iniciar un evento, cuál es el centro de datos sobre el que quiere trabajar”.
Esto afecta tanto a los usuarios antiguos de Zoom como a los que se den de alta en los próximos días y según afirmaron durante el encuentro toda la información y los datos viajarán encriptados. “En ningún momento la información se desencriptará en ninguno de nuestros centros de datos, sólo en el dispositivo de destino”, aseguró Odeg Gal, Chief Product Officer, que además explicó que “trabajamos con socios como Amazon y Oracle que nos están ayudando mucho y con estos socios podemos seguir haciendo frente a la demanda creciente a la que nos enfrentamos”.
Otra de las novedades de la aplicación pretende acabar con el zoombombing, esa situación en el que aparece en una reunión alguien que no estaba invitado. Por ello, la compañía va a permitir, al estilo de otras redes sociales como twitter, que el organizador de cualquier tipo de encuentro pueda denunciar a un usuario de Zoom. Además, para los clientes del sector educativo, el uso compartido de la pantalla ahora sólo está disponible para el anfitrión, de tal forma que se soluciona un problema que denunciaban los profesores y era que los alumnos se comunicaban entre ellos.
Eric Yuan puso especial énfasis en que parte de las medidas de seguridad han adoptado en Zoom, como poner una contraseña a la reunión, corren de parte del usuario y que entendía que eso podía ser complicado, pero que en la nueva versión se soluciona ya que todas las funcionalidades de seguridad se encuentran integradas en un único botón. En cuanto a las contraseñas de las reuniones, una función ya existente de Zoom, ahora está activada por defecto para la mayoría de los clientes, incluyendo todos los clientes Basic, Pro de una sola licencia y K-12. En el caso de las cuentas administradas, los administradores tienen ahora la posibilidad de definir la complejidad de las contraseñas (como los requisitos de longitud, alfanuméricos y de caracteres especiales). Además, los administradores de Zoom Phone podrán ajustar la longitud del pin requerido para acceder al correo de voz.