en nuestra vidas, y a causa de esto, la población descubrió y se afianzó al uso de “nuevas” herramientas: 1. Teleconferencias. 2. Videollamadas para reuniones laborales y hasta familiares. 3. Clases virtuales. 4. Telemedicina. 3
informe de citizenlab: ◦ Sede en USA. ◦ Desarrollada por tres compañías en China (Ruanshi Software). ◦ Zoom es propietaria de dos de ellas. ¿Qué función cumple? - Reuniones - Seminario web con video - Sala de conferencia - Sistema telefónico - Mensajería instantánea comercial 4
la usabilidad pero atenta contra la seguridad. 2. Recolectan información de todo tipo, ejemplo: ◦ Información técnica del dispositivo, red y de la conexión de internet. ◦ Ubicación aproximada. ◦ Información sobre cómo estás usando Zoom. ◦ Configuraciones. ◦ Metadatos. Aunque todo esto está debidamente presentado en su política de privacidad. 5
indicar que se está haciendo. • Opcionalmente el anfitrión puede solicitar el consentimiento a través de un mensaje a los participantes. • Guardado localmente. • Guardado en la nube. ◦ Ofrece un servicio de transcripción ¿Entonces se tiene acceso al vídeo y al audio?
que Zoom hace sobre los usuarios frente a vulnerabilidades de seguridad aprovechadas por ciberdelincuentes. 1. Zoom te advierte qué información va a recolectar y uno acepta eso al momento de instalarlo. 2. Por otro lado, Zoom a lo largo de su historia recopila una cantidad menor de vulnerabilidades públicamente conocidas y todas ellas fueron solucionadas. 7
videoconferencias - exposición de contenido sensible hacia otros participantes https://eldoce.tv/curioso/zoom-alerta-hackeos-docente-denuncio-intruso-compartio-pornografia-videollamadas-cuarentena_98435
Versión 5.0 agrega de forma predeterminada una contraseña a la reunión - sala de espera activada • 1° de abril: Zoombombing Intrusión en videoconferencias - exposición de contenido sensible hacia otros participantes
de datos a Facebook (incluso personas que no poseen cuenta) Control sobre algunos datos para ser compartidos con terceras partes. - cuándo se abre la aplicación - detalles del dispositivo del usuario (modelo, operadora móvil y ciudad desde la que se conecta) https://blog.segu-info.com.ar/2020/03/zoom-enviaba-datos-facebook.html
almacena las claves de cifrado en su propia infraestructura cloud No es cifrado end-to-end Podría utilizar las claves para descifrar los datos! • Usaban versión TLS estándar → vulnerable
Mac - Windows: Ejecución de Código Remoto (RCE) permitiría espionaje - Precio inicial: U$S500.000 - Requiere que el atacante esté presente en la llamada
en China, “erróneamente” - Administradores podían ver: dirección IP, datos de ubicación, datos del dispositivo de cada participante: Sist. operativo, nombre del dispositivo, etc. - Grabaciones expuestas en la web, con datos sensibles.
emails y fotos de otros usuarios desconocidos - Control sobre micrófono y cámara - Control sobre el escritorio de Mac - Distribución de malware en instaladores no oficiales - Sitios web maliciosos habilitaban la cámara sin permiso - Denegación de servicio
útil y versátil que funciona muy bien. ◦ Esto no quita que puede considerarse como excesiva la información recopilada. ◦ Ningún software está exento a ser víctima de la explotación de una vulnerabilidad. • Existen otras alternativas pero ninguna es tan completa como Zoom. ◦ Jitsi Meet. ◦ Google Meet. ◦ Webex. ◦ Microsoft Teams 36