Desde que el confinamiento debido al Covid-19 se ha generalizado, se ha disparado el uso de herramientas de videoconferencia, tanto en entornos profesionales como domésticos. En los primeros, se ha convertido en una necesidad para poder seguir con nuestras tareas y mantener reuniones con los compañeros. En los segundos, es la única forma que nos queda de poder ver a nuestros familiares y charlar con ellos como hacíamos antes de esta crisis.

Microsoft Teams ha incrementado su uso un 775% y lo mismo ha ocurrido con otras opciones como Cisco Webex o Google Classroom. Sin embargo, Zoom es la que ha experimentado un crecimiento mayor. De hecho, la propia empresa afirma que durante el mes de marzo ha alcanzado los 200 millones de usuarios diarios sumando tanto los que usan la opción gratuita como las suscripciones de pago.

Cuando los criminales quieren aprovechar fallos en aplicaciones y sistemas operativos, es razonable que centren sus esfuerzos en aquellos entornos donde hay un mayor número potencial de víctimas. Es una simple cuestión de rentabilidad. Encontrar y aprovechar una vulnerabilidad requiere tiempo, dinero y esfuerzo. Normalmente, el beneficio al aprovecharla estará ligado al número de usuarios que se pueden ver afectados.

Siempre ha ocurrido esto. En sistemas operativos, Windows ha sido tradicionalmente el que se ha visto más afectado por fallos, pero el crecimiento en popularidad de Linux ha venido también acompañado de un incremento en los bugs que se descubren para este sistema.

Estos fallos y vulnerabilidades las podemos etiquetar como “no intencionadas”. En aplicaciones con millones de líneas de código es “normal” que se produzcan errores y es responsabilidad del fabricante detectarlos lo antes posible y corregirlos. Existen metodologías de SDLC (Secure Development Lifecycle) y buenas prácticas, pero no es este tipo de problemas el que quiero tratar en este post.

Lo que en mi humilde opinión es más preocupante son las violaciones intencionadas de la privacidad de los usuarios. Muchos habremos oído la frasecuando el producto es gratis, el producto eres tú.

Implementar un servicio al que acceden diariamente millones de usuarios tiene unos costes muy importantes y las empresas que los ofrecen necesitan cubrir gastos y, evidentemente, obtener beneficios.

Algunas lo hacen mediante la inclusión de publicidad como ocurre en muchas aplicaciones móviles o compras directamente en la aplicación para obtener características premium. Otras consiguen monetizar sus servicios a costa de recopilar y procesar todos los datos que puedan de sus usuarios, para luego venderlos.

Todos somos conscientes, en mayor o menor medida, de que esto ocurre con servicios como los de Google, Facebook, Twitter, Amazon, … Basta recordar el escándalo de Cambridge Analytica, o las veces que nos llega publicidad respecto a un producto del que hace unos minutos habíamos escrito a un amigo en un correo electrónico en Gmail.

Por supuesto, es legítimo que una empresa quiera ganar dinero, pero aquí entra en juego un concepto que considero que es fundamental, el consentimiento por parte del usuario. El usuario debe tener el conocimiento de que se van a recopilar datos de su actividad y qué se va a hacer con ellos. De esta forma podría tomar una decisión de si usar el servicio o no. Después hablaremos del concienciamiento de los usuarios a este respecto.

Las vulnerabilidades en Zoom que permiten robar credenciales o acceder a grabaciones incorrectamente protegidas o a videollamadas en curso (zoombombing) son preocupantes, pero como decía antes, son “no intencionadas” o se deben a “descuidos” por no aplicar buenas prácticas. La empresa desarrolla actualizaciones para solventar estos problemas como ocurre con otros muchos fabricantes y se soluciona. Más adelante surgirá otra y el ciclo seguirá.

En cambio, la falta de información al usuario y la opacidad en cuanto a las prácticas que atentan contra la privacidad de éstos ya no puede considerarse “no intencionada”. Ahora sabemos que Zoom ha recopilado nombres de usuario, direcciones físicas, especificaciones del ordenador o el móvil desde el que accedemos, números de teléfono, correos electrónicos, perfiles de Facebook, información sobre nuestro trabajo, archivos o cualquier otra información que subimos a la aplicación. Todo esto lo ha hecho sin notificar ni pedir que el usuario lo acepte. Aquí tenemos un artículo de Bruce Schneier donde lo detalla.

Como vemos en el artículo de Schneier, la política de privacidad de Zoom (que se modificó el 29 de marzo de 2020) era la siguiente:

Lo que nos viene a decir que simplemente por descargar la aplicación del marketplace, ya consideran que damos nuestro consentimiento para que compañías de marketing (o “anyone else”) pueda acceder a nuestros datos personales a cambio de dinero. Como decía antes, esta política se modificó hace pocos días debido al escándalo que se ha producido.

No quiero que esto se vea como una cruzada personal contra Zoom, ya que son muchas las aplicaciones que siguen prácticas similares. Esto es solo un ejemplo, que ahora ha tenido mucha repercusión mediática, de que debería ser obligatorio que el usuario siempre de su consentimiento informado.

Evidentemente esto es muy complicado en un mundo globalizado en el que cada país tiene sus propias normativas y leyes. Por este motivo pienso que el software de código abierto (open source) es una muy buena opción a tener en cuenta. Por su naturaleza, el código abierto es fácilmente auditable por terceros para analizar su funcionalidad y descubrir prácticas que podrían poner en riesgo la privacidad de los usuarios.

Por supuesto, el open source no es sinónimo de seguridad, como ya hemos comentado antes con el ejemplo del incremento de vulnerabilidades descubiertas en distribuciones de Linux. Sin embargo, sí que es una solución frente a la opacidad del software propietario para garantizar que nuestra privacidad no se ve comprometida.

En el caso concreto de las videollamadas, tenemos opciones como Jitsi:

https://jitsi.org

Que también ha tenido problemas con vulnerabilidades técnicas que ya se han resuelto y otras que probablemente aparecerán según se popularice su uso, pero que no recopila datos personales a nuestras espaldas para luego venderlos sin nuestro consentimiento.

Con Jitsi podemos usar su servicio online para iniciar videoconferencias en pocos segundos, o bien podemos descargar el software para implementar nuestro propio servidor. Por supuesto, esto no está al alcance del usuario medio, pero es una opción muy interesante para empresas.

Es más, sobre Jitsi se crean iniciativas que hacen que su uso sea mucho más sencillo para usuarios finales. Por ejemplo, personas mayores que solo quieren una forma de poder entrar en contacto con sus familiares y que necesitan que sea lo más fácil posible. Una de estas iniciativas es videollama.me:

https://videollama.me

Que ayuda a estas personas a configurar sus dispositivos para hacer uso de este sistema de videollamadas. Esta es otra ventaja del código abierto, cualquiera puede aportar soluciones para mejorarlo

No quiero con esto demonizar todo el software propietario, que también hay mucho y muy bueno que respeta la privacidad de los usuarios, pero su falta de transparencia es un resquicio que algunos utilizan para aprovecharse del desconocimiento de quien los usa.

Y esto último es otra de las cuestiones muy tener en cuenta respecto a la seguridad y privacidad, la falta de conocimiento y concienciamiento de muchos usuarios. Muchas veces hemos oído la frase “yo no tengo nada que ocultar, me da igual que me vigilen o vendan mis datos”. Prácticamente todos instalamos aplicaciones sin leer los acuerdos, los requisitos o los permisos que nos pide la instalación. Únicamente pulsamos siguiente, siguiente, siguiente, …, y empezamos a usarla.

Esto requerirá de mucho esfuerzo y tiempo hasta que seamos conscientes de que nuestra privacidad y seguridad empieza por nosotros mismos. Concienciar a los usuarios tanto en entornos corporativos como domésticos es cada vez más importante y evitaría muchos problemas. Sería incluso más eficaz que contar con el último antivirus o con el firewall de última generación más caro. Pero esto ya será un tema para otro post.

En este día...


0 comentarios

Deja una respuesta

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *