La presentación de Zoom en la conferencia RSA 2021 se centró en el cifrado de extremo a extremo para las reuniones por Zoom Cloud. La empresa explicó por qué sus desarrolladores se centran en el tema, cómo planean aumentar la seguridad de las llamadas y qué otras funciones de seguridad pueden esperar los usuarios.
Un poco de historia
Gracias a la pandemia, muchos tuvimos que implementar el teletrabajo a largo plazo y comunicarnos con los colegas y seres queridos mediante software para teleconferencias. La amplia popularidad de Zoom llamó la atención tanto de expertos en seguridad como de cibercriminales. Rápidamente, muchos descubrieron las fallas en la seguridad de la plataforma. Por ejemplo, se encontraron vulnerabilidades en el software que permitían a los atacantes espiar a los usuarios mediante sus cámaras y micrófonos, incluso los asaltos de los trolls online recibieron su propio nombre: Zoombombing. La respuesta de Zoom fue rápida y de gran alcance, pero aún había problemas.
Una de las quejas principales con Zoom era que la plataforma utilizaba cifrado punto a punto (P2PE) en lugar de cifrado de extremo a extremo (E2EE).
E2EE vs. P2PE
A primera vista, los dos sistemas parecen similares. Ambos cifran los datos que los usuarios intercambian. Pero con P2PE, el servidor puede acceder a los mensajes de los usuarios, mientras que E2EE cifra la información en el dispositivo del remitente y solo la descifra del lado del destinatario. Sin embargo, este detalle no está libre de problemas, lo que los desarrolladores de Zoom resaltaron en la conferencia:
- Los cibercriminales podían violar el servidor, robar las claves de cifrado que ahí se almacenan y unirse a reuniones suplantando a invitados reales o enviar mensajes de broma.
- Los empleados oportunistas del proveedor del servicio de nube o el mismo Zoom podían obtener acceso a las claves y robar la información de los usuarios.
Nadie quiere que sus conversaciones privadas con la familia o los amigos, y mucho menos las charlas de negocios secretas se hagan públicas. Es más, sería extremadamente difícil detectar si un cibercriminal utilizara las claves robadas solo como oyente pasivo.
E2EE resuelve estos problemas al almacenar las claves de descifrado en los dispositivos de los usuarios, y en ningún otro lado. Esto significa que hackear el servidor no permitiría que un intruso escuchara a escondidas una videoconferencia.
En consecuencia, muchos ya esperaban que Zoom implementara E2EE, el cual ya es una función predeterminada estándar en las aplicaciones de mensajería.
Cifrado de extremo a extremo en Zoom: Situación actual
Los desarrolladores escucharon las críticas y tomaron medidas para mejorar la seguridad de la plataforma, incluida la implementación de E2EE.
Zoom ha utilizado E2EE para llamadas de audio y video, así como para el chat desde el otoño de 2020. Cuando está habilitado, Zoom protege la información de los participantes con una llamada clave de cifrado de conferencias. La clave no está almacenada en los servidores de Zoom, así que ni siquiera los desarrolladores pueden descifrar el contenido de las conversaciones. La plataforma almacena solo las ID de los usuarios cifradas y algunos metadatos de la reunión como la duración de la llamada.
Como protección contra conexiones externas, los desarrolladores también introdujeron la función Heartbeat, una señal que el anfitrión de la reunión envía de forma automática a otros usuarios. Contiene, entre otras cosas, una lista de asistentes a quienes el anfitrión de la reunión envía la clave de cifrado vigente. Si alguien que no está en la lista se une a la reunión, todos sabrán de inmediato que algo no anda bien.
Otra manera de mantener fuera a los participantes sin invitación es bloquear la reunión (mediante la función Bloquear reunión) una vez que se hayan reunido todos los invitados. Es necesario bloquear las reuniones de forma manual, pero una vez hecho, nadie más puede unirse, incluso si cuentan con la ID y la contraseña de la reunión.
Zoom también ofrece protección contra ataques de tipo man-in-the-middle con un reemplazo de la clave de cifrado. Para asegurarse de que un extraño no esté escuchando a escondidas, el anfitrión de la reunión puede hacer clic en un botón en cualquier momento para generar un código de seguridad basado en la clave actual de cifrado de la reunión. De la misma manera, un código se genera para el resto de los participantes de la reunión de manera automática. El anfitrión solo debe leer el código en voz alta; si coincide con el de los demás, entonces todos están usando la misma clave y todo marcha bien.
Finalmente, si el anfitrión de la reunión sale y alguien más toma su lugar, la aplicación notifica de este cambio. Si esto le parece sospechoso al resto de los participantes, puede suspender cualquier conversación confidencial mientras se soluciona.
Por supuesto, si solo estás en una fiesta con tus amigos, probablemente no necesites utilizar todos estos mecanismos de seguridad. Pero si están en juego secretos comerciales o de otro tipo, estas herramientas de protección son verdaderamente útiles, de manera que los participantes de reuniones importantes deben estar al tanto de ellas y saber cómo usarlas.
A pesar de las innovaciones, los desarrolladores de Zoom admiten que todavía queda mucho por hacer. La plática en RSA 2021 también aclaró el camino de desarrollo para Zoom.
El futuro de Zoom
Los desarrolladores identificaron varias amenazas para las cuales aún deben implementar contraataques efectivos. Una de ellas es la infiltración de personas que se hacen pasar por usuarios invitados a las reuniones. Otra es que la protección del E2EE no evita que los atacantes conozcan ciertos metadatos, como la duración de las llamadas, los nombres de los participantes y las direcciones IP. Tampoco podemos excluir las vulnerabilidades del programa de la lista de riesgos; en teoría, los cibercriminales podrían incrustar código malicioso en Zoom.
Con estas amenazas en mente, los desarrolladores de Zoom listaron las siguientes metas:
- Garantizar que solo los participantes invitados y aprobados obtengan acceso a los eventos.
- Evitar que los participantes que sean removidos de un evento vuelvan a reconectarse.
- Evitar interferencias de cualquier persona no admitida a la reunión.
- Permitir que los asistentes confiables notifiquen abusos al equipo de seguridad de Zoom.
Mapa de ruta
Para lograr estas metas, los desarrolladores crearon un mapa de ruta de cuatro etapas. La etapa uno ya ha sido implementada. Como dijimos, se cambió el sistema para gestionar la clave de cifrado de conferencias de manera que esta se almacene solo en los dispositivos de los usuarios, así como mejorar los medios para evitar que extraños se unan a las reuniones.
En la etapa dos, planean introducir la autenticación de usuarios que no dependa de los servidores de Zoom, y que en su lugar se base en tecnología de inicio de sesión único (SSO) que involucre proveedores de identidad independientes (IDP).
Como resultado, un posible intruso no puede similar la identidad de un usuario, incluso si obtiene el control del servidor de Zoom. Si alguien se une a un evento haciéndose pasar por un invitado, pero con una nueva clave pública, otros serán alertados de la amenaza potencial.
En la etapa tres se introducirá el concepto del árbol de transparencia, el cual almacena todas las identidades en una estructura de datos autenticados, auditables para asegurar que todos los usuarios tengan una vista consistente de cualquier identidad y detecten ataques de suplantación de identidad. La intención de Zoom es fortalecer la protección de la plataforma contra ataques de tipo man-in-the-middle.
En la etapa final, etapa cuatro, los desarrolladores planean facilitar la verificación de identidad cuando un usuario se conecte desde un dispositivo nuevo. Para enlazar un dispositivo nuevo, el usuario deberá confirmar su legitimidad, por ejemplo, al escanear un código QR en la pantalla de un teléfono o computadora confiable. Esto evitará que un atacante enlace un dispositivo a la cuenta de alguien más.
Seguridad sin sacrificio
Al implementar mecanismos de seguridad adicionales, es importante considerar cómo afectarán a los usuarios ordinarios. Los desarrolladores de Zoom también están considerando este aspecto. Por ejemplo, una innovación propuesta es el uso de nubes de dispositivo personal. Esta tecnología simplificará el proceso de agregar nuevos dispositivos a una cuenta mientras ayuda a mantenerla segura.
¿Zoom será más seguro?
En corto: sí. La seguridad de Zoom continúa mejorando. La compañía ya ha tomado varias medidas para protegerte contra las interferencias de extraños, y tiene mucho más herramientas de protección en desarrollo. Punto aparte, es agradable ver que Zoom está tratando de mezclar la seguridad con la facilidad de uso.
Por supuesto, mucho depende de los usuarios de Zoom. Y como con todo lo que es online, hacer videoconferencias requiere sentido común y conocimiento de los mecanismos de protección disponibles. Es importante acatar las advertencias de la plataforma y evitar las conversaciones confidenciales si algo parece sospechoso y no puedes descartar una filtración de información.