Què en sabem sobre la seguretat de l'aplicació de videotrucades Zoom?

La polèmica al voltant de la seguretat de l'aplicació que milers de persones s'han descarregat per parlar amb la família, amics o per feina en temps de confinament segueix ben viva.

Un fitxer amb més de 500.000 comptes de Zoom ha començat a circular aquest dilluns de Pasqua a la coneguda com a Dark Web, la Internet "fosca", segons ha informat la companyia de ciberseguretat Cyble al portal Bleeping Computer. Els pirates informàtics estaven intentant vendre les credencials en diferents fòrums

Over 500,000 Zoom accounts sold on hacker forums, the dark web - by @LawrenceAbramshttps://t.co/p8tmxAzzFu

— BleepingComputer (@BleepinComputer) April 13, 2020

Segons Albert Cuesta, periodista expert en tecnologia col·laborador de diversos programes de Catalunya Ràdio, es pot suplantar la identitat dels usuaris a qui se'ls ha robat les credencials.

Continuo recomanant que no es faci servir Zoom. Companyies com Google, Apple, SpaceX o la NASA, els governs de Taiwan i d'Alemanya ho han prohibit.

Algunes versions de Zoom cedien dades a Facebook sense que ho sabessis, altres canalitzaven les videotrucades a través de servidors xinesos que no són de fiar. Mica en mica ha anat solucionant forats de seguretat però hi ha alternatives més fiables com Google Hangouts, Microsoft Teams o Jitsi, que és de codi obert i com que no t'has de donar d'alta enlloc no et pot robar les dades ningú. I també les videotrucades de WhatsApp o Skype

Segons Cuesta, Zoom té nombrosos forats de seguretat i fugues de dades, que la companyia ha reconegut i no semblen intencionats. Una recomanació que fa és  plantejar-se si la videotrucada és estrictament necessària ja que potser podem fer servir directament una trucada normal. Durant les darreres setmanes molts experts en tecnologia com ell estan advertint de les vulnerabilitats de seguretat de l'aplicació Zoom.

Què hi diuen els experts en tecnologia?

Pel que fa als nostres experts, tots coincideixen que no és una aplicació segura si el que es pretén és fer una videoconferència amb un nivell alt de confidencialitat. Resumim algunes de les declaracions fetes als programes "Popap" i "Catalunya nit".

Selva Orejón, directora de l'empresa experta en ciberseguretat i identitat digital OnBrading, alerta que Zoom té vulnerabilitats de seguretat serioses especialment per a usuaris de Windows amb versions 4.6.9.

L'empresa ha publicat un avís de seguretat que alerta que la vulnerabilitat dels usuaris de Windows podria permetre als ciberdelinqüents robar informació confidencial als usuaris i executar arxius dels dispositius. Recomanen actualitzar al màxim perquè aquest "bug" quedi resolt.

L'advocat expert en món digital Victor Roselló recomana que s'elabori un manual d'ús per a qui l'hagi d'utilitzar:

Han reconegut errors de seguretat sobretot per culpa de l'augment de demanda: han passat de 10 milions d'usuaris a 200 milions. Estem recomanant a clients que fan servir Zoom com escoles que facin un manual d'ús de l'aplicació per als treballadors que l'hagin de fer servir.

El politòleg expert en tecnologia Enric Lujan creu que és una mala idea fer reunions amb alt nivell de confidencialitat amb aquesta aplicació.

Zoom s'està convertint en centre d'atenció dels ciberdelinqüents perquè ho estan veient com una mina d'or (per robar dades dels usuaris). S'ha de fer servir amb cautela i no per reunions en què es necessiti un alt grau de confidencialitat.

Educació no ha fet cap recomanació per evitar Zoom

La passada Setmana Santa, l'alarma es va estrendre per WhatsApp, a través d'un missatge on el Departament d'Educació recomanava desinstal·lar l'aplicació dels mòbils, tauletes o ordinadors. Tot i això, des de la conselleria que dirigeix Josep Bargalló asseguren a "Fets o fakes" que ells no van fer en cap cas, aquesta recomanació genèrica i que és fals. Aquest és el missatge que va córrer, especialment entre grups d'educadors i famílies:

Por cierto, ahora está circulando por los grupos de padres de diferentes escuelas éste mensaje pic.twitter.com/BnqinzqlmJ

— Laura Madrigal (@LauraMadrigal25) April 10, 2020

Mossos sí que va fer inicialment un advertiment

En un primer moment, l'oficina de comunicació de Mossos ens va confirmar que consideraven aquesta aplicació com a no segura. I, de fet, així ho havien explicat a Twitter com a resposta a usuaris que els feien la pregunta.

Buenas tardes, Laura, es cierto que se ha detectado una vulnerabilidad en la plataforma de videoconferencias @zoom_us. Aquí tienes más info 👉 https://t.co/wmijn67a7e

— Mossos (@mossos) April 9, 2020

Tot i això, durant unes hores l'enllaç de la notícia no va funcionar perquè, segons els mateixos Mossos, se n'estava actualitzant la informació. Quan es va tornar a activar, s'havia canviat l'avís de vulnerabilitat per unes recomanacions sobre les aplicacions de videoconferències.

En el cas de Zoom, el que especificava Mossos en el nou comunicat era textualment això:

L'empresa està alertant sobre una vulnerabilitat per als usuaris de Windows que podria permetre als ciberdelinqüents robar informació confidencial i executar arxius en el dispositiu de la víctima, en concret els recursos afectats són els usuaris de Zoom per a Windows amb versions anteriors a la 4.6.9.

Per tal de solucionar aquest problema heu d'actualitzar a l'última versió disponible de Zoom.

Es dona el cas que Divendres Sant s'havia de fer per primera vegada a través de Zoom la roda de premsa diària del govern amb la consellera de Presidència, Meritxell Budó, el conseller d'Interior, Miquel Buch, i la consellera de Salut, Alba Vergés. Finalment, es va fer a través d'aquesta aplicació i el conseller Buch en va parlar:

"Han canviat els nivells de seguretat (de Zoom). El cos de Mossos d'Esquadra està fent un anàlisi de la seguretat de les plataformes. Però la plataforma que estem fent servir ara mateix (Zoom) garanteix aquest anonimat. Si no el garantís estaríem fent una roda de premsa que ens estaria veient tot el país. Entenem que és una plataforma segura".

Recomanacions dels organismes oficials de ciberseguretat

El Departament de Polítiques Digitals ha publicat un seguit de recomanacions per fer servir eines de videoconferència

📌 Nota Informativa de @ciberseguracat sobre
✅ eines per fer videoconferències
✅ l'ús de l'aplicació #Zoom https://t.co/9e8xWmQtlq

— Tic Catalunya (@tic) April 10, 2020

Des de l'Institut Nacional de Ciberseguretat (INCIBE), que depèn de Ministeri de Transformació Digital, han fet una alerta sobre l'aplicació Zoom:

⚠️#OSIaviso⚠️ Si estás utilizando @zoom_us para tus videoconferencias en un ordenador con #Windows 🖥, ¡actualiza a la última versión! #CiberCOVID19 https://t.co/Jnlel5lTrW pic.twitter.com/ip7EgyET8P

— OSI Seguridad (@osiseguridad) April 6, 2020