{"id":22334,"date":"2021-07-13T16:03:36","date_gmt":"2021-07-13T22:03:36","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=22334"},"modified":"2021-07-13T16:03:36","modified_gmt":"2021-07-13T22:03:36","slug":"rsa2021-zoom-end-to-end-encryption","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/22334\/","title":{"rendered":"Zoom ahora con cifrado de extremo a extremo"},"content":{"rendered":"<p>La presentaci\u00f3n de Zoom en la <a href=\"https:\/\/latam.kaspersky.com\/blog\/tag\/rsac\/\" target=\"_blank\" rel=\"noopener\">conferencia RSA 2021<\/a> se centr\u00f3 en el cifrado de extremo a extremo para las reuniones por Zoom Cloud. La empresa explic\u00f3 por qu\u00e9 sus desarrolladores se centran en el tema, c\u00f3mo planean aumentar la seguridad de las llamadas y qu\u00e9 otras funciones de seguridad pueden esperar los usuarios.<\/p>\n<h2>Un poco de historia<\/h2>\n<p>Gracias a la pandemia, muchos tuvimos que implementar el teletrabajo a largo plazo y comunicarnos con los colegas y seres queridos mediante software para teleconferencias. La amplia popularidad de Zoom llam\u00f3 la atenci\u00f3n tanto de expertos en seguridad como de cibercriminales. R\u00e1pidamente, muchos descubrieron las fallas en la seguridad de la plataforma. Por ejemplo, se encontraron vulnerabilidades en el software que permit\u00edan a los atacantes <a href=\"https:\/\/threatpost.com\/two-zoom-zero-day-flaws-uncovered\/154337\/\" target=\"_blank\" rel=\"noopener nofollow\">espiar a los usuarios mediante sus c\u00e1maras y micr\u00f3fonos<\/a>, incluso los asaltos de los trolls online recibieron su propio nombre: \u00a0<a href=\"https:\/\/es.wikipedia.org\/wiki\/Zoombombing\" target=\"_blank\" rel=\"noopener nofollow\">Zoombombing<\/a>. La respuesta de Zoom fue r\u00e1pida y de gran alcance, pero a\u00fan hab\u00eda problemas.<\/p>\n<p>Una de las quejas principales con Zoom era que la plataforma <a href=\"https:\/\/www.theverge.com\/2020\/3\/31\/21201234\/zoom-end-to-end-encryption-video-chats-meetings\" target=\"_blank\" rel=\"noopener nofollow\">utilizaba<\/a> cifrado punto a punto (P2PE) en lugar de cifrado de extremo a extremo (E2EE).<\/p>\n<h3><strong>E2EE vs. P2PE<\/strong><\/h3>\n<p>A primera vista, los dos sistemas parecen similares. Ambos cifran los datos que los usuarios intercambian. Pero con P2PE, el servidor puede acceder a los mensajes de los usuarios, mientras que E2EE cifra la informaci\u00f3n en el dispositivo del remitente y solo la descifra del lado del destinatario. Sin embargo, este detalle no est\u00e1 libre de problemas, lo que los desarrolladores de Zoom resaltaron en la conferencia:<\/p>\n<ul>\n<li>Los cibercriminales pod\u00edan violar el servidor, robar las claves de cifrado que ah\u00ed se almacenan y unirse a reuniones suplantando a invitados reales o enviar mensajes de broma.<\/li>\n<li>Los empleados oportunistas del proveedor del servicio de nube o el mismo Zoom pod\u00edan obtener acceso a las claves y robar la informaci\u00f3n de los usuarios.<\/li>\n<\/ul>\n<p>Nadie quiere que sus conversaciones privadas con la familia o los amigos, y mucho menos las charlas\u00a0 de negocios secretas se hagan p\u00fablicas. Es m\u00e1s, ser\u00eda extremadamente dif\u00edcil detectar si un cibercriminal utilizara las claves robadas solo como oyente pasivo.<\/p>\n<p>E2EE <a href=\"https:\/\/latam.kaspersky.com\/blog\/what-is-end-to-end-encryption\/20089\/\" target=\"_blank\" rel=\"noopener\">resuelve estos problemas<\/a> al almacenar las claves de descifrado en los dispositivos de los usuarios, y en ning\u00fan otro lado. Esto significa que hackear el servidor no permitir\u00eda que un intruso escuchara a escondidas una videoconferencia.<\/p>\n<p>En consecuencia, muchos ya esperaban que Zoom implementara E2EE, el cual ya es <a href=\"https:\/\/latam.kaspersky.com\/blog\/whatsapp-encryption\/6940\/\" target=\"_blank\" rel=\"noopener\">una funci\u00f3n predeterminada est\u00e1ndar en las aplicaciones de mensajer\u00eda<\/a>.<\/p>\n<p><strong><input type=\"hidden\" class=\"category_for_banner\" value=\"vpn\"><\/strong><\/p>\n<h2>Cifrado de extremo a extremo en Zoom: Situaci\u00f3n actual<\/h2>\n<p>Los desarrolladores escucharon las cr\u00edticas y tomaron medidas para <a href=\"https:\/\/latam.kaspersky.com\/blog\/zoom-5-security\/19150\/\" target=\"_blank\" rel=\"noopener\">mejorar la seguridad de la plataforma<\/a>, incluida la implementaci\u00f3n de E2EE.<\/p>\n<p><a href=\"https:\/\/blog.zoom.us\/zoom-rolling-out-end-to-end-encryption-offering\/\" target=\"_blank\" rel=\"noopener nofollow\">Zoom ha utilizado E2EE<\/a> para llamadas de audio y video, as\u00ed como para el chat desde el oto\u00f1o de 2020. Cuando est\u00e1 habilitado, Zoom protege la informaci\u00f3n de los participantes con una llamada clave de cifrado de conferencias. La clave no est\u00e1 almacenada en los servidores de Zoom, as\u00ed que ni siquiera los desarrolladores pueden descifrar el contenido de las conversaciones. La plataforma almacena solo las ID de los usuarios cifradas y algunos metadatos de la reuni\u00f3n como la duraci\u00f3n de la llamada.<\/p>\n<p>Como protecci\u00f3n contra conexiones externas, los desarrolladores tambi\u00e9n introdujeron la funci\u00f3n Heartbeat, una se\u00f1al que el anfitri\u00f3n de la reuni\u00f3n env\u00eda de forma autom\u00e1tica a otros usuarios. Contiene, entre otras cosas, una lista de asistentes a quienes el anfitri\u00f3n de la reuni\u00f3n env\u00eda la clave de cifrado vigente. Si alguien que no est\u00e1 en la lista se une a la reuni\u00f3n, todos sabr\u00e1n de inmediato que algo no anda bien.<\/p>\n<p>Otra manera de mantener fuera a los participantes sin invitaci\u00f3n es bloquear la reuni\u00f3n (mediante la funci\u00f3n Bloquear reuni\u00f3n) una vez que se hayan reunido todos los invitados. Es necesario bloquear las reuniones de forma manual, pero una vez hecho, nadie m\u00e1s puede unirse, incluso si cuentan con la ID y la contrase\u00f1a de la reuni\u00f3n.<\/p>\n<p>Zoom tambi\u00e9n ofrece protecci\u00f3n contra <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/man-in-the-middle-attack\/\" target=\"_blank\" rel=\"noopener\">ataques de tipo <em>man-in-the-middle<\/em><\/a> con un reemplazo de la clave de cifrado. Para asegurarse de que un extra\u00f1o no est\u00e9 escuchando a escondidas, el anfitri\u00f3n de la reuni\u00f3n puede hacer clic en un bot\u00f3n en cualquier momento para generar un c\u00f3digo de seguridad basado en la clave actual de cifrado de la reuni\u00f3n. De la misma manera, un c\u00f3digo se genera para el resto de los participantes de la reuni\u00f3n de manera autom\u00e1tica. El anfitri\u00f3n solo debe leer el c\u00f3digo en voz alta; si coincide con el de los dem\u00e1s, entonces todos est\u00e1n usando la misma clave y todo marcha bien.<\/p>\n<p>Finalmente, si el anfitri\u00f3n de la reuni\u00f3n sale y alguien m\u00e1s toma su lugar, la aplicaci\u00f3n notifica de este cambio. Si esto le parece sospechoso al resto de los participantes, puede suspender cualquier conversaci\u00f3n confidencial mientras se soluciona.<\/p>\n<p>Por supuesto, si solo est\u00e1s en una fiesta con tus amigos, probablemente no necesites utilizar todos estos mecanismos de seguridad. Pero si est\u00e1n en juego secretos comerciales o de otro tipo, estas herramientas de protecci\u00f3n son verdaderamente \u00fatiles, de manera que los participantes de reuniones importantes deben estar al tanto de ellas y saber c\u00f3mo usarlas.<\/p>\n<p>A pesar de las innovaciones, los desarrolladores de Zoom admiten que todav\u00eda queda mucho por hacer. La pl\u00e1tica en RSA 2021 tambi\u00e9n aclar\u00f3 el camino de desarrollo para Zoom.<\/p>\n<h2>El futuro de Zoom<\/h2>\n<p>Los desarrolladores identificaron varias amenazas para las cuales a\u00fan deben implementar contraataques efectivos. Una de ellas es la infiltraci\u00f3n de personas que se hacen pasar por usuarios invitados a las reuniones. Otra es que la protecci\u00f3n del E2EE no evita que los atacantes conozcan ciertos metadatos, como la duraci\u00f3n de las llamadas, los nombres de los participantes y las direcciones IP.\u00a0 Tampoco podemos excluir las vulnerabilidades del programa de la lista de riesgos; en teor\u00eda, los cibercriminales podr\u00edan incrustar c\u00f3digo malicioso en Zoom.<\/p>\n<p>Con estas amenazas en mente, los desarrolladores de Zoom <a href=\"https:\/\/github.com\/zoom\/zoom-e2e-whitepaper\/blob\/master\/archive\/zoom_e2e_v3.pdf\" target=\"_blank\" rel=\"noopener nofollow\">listaron las siguientes metas<\/a>:<\/p>\n<ul>\n<li>Garantizar que solo los participantes invitados y aprobados obtengan acceso a los eventos.<\/li>\n<li>Evitar que los participantes que sean removidos de un evento vuelvan a reconectarse.<\/li>\n<li>Evitar interferencias de cualquier persona no admitida a la reuni\u00f3n.<\/li>\n<li>Permitir que los asistentes confiables notifiquen abusos al equipo de seguridad de Zoom.<\/li>\n<\/ul>\n<h3><strong>Mapa de ruta<\/strong><\/h3>\n<p>Para lograr estas metas, los desarrolladores crearon un mapa de ruta de cuatro etapas. <strong>La etapa uno<\/strong> ya ha sido implementada. Como dijimos, se cambi\u00f3 el sistema para gestionar la clave de cifrado de conferencias de manera que esta se almacene solo en los dispositivos de los usuarios, as\u00ed como mejorar los medios para evitar que extra\u00f1os se unan a las reuniones.<\/p>\n<p>En la <strong>\u00a0etapa dos<\/strong>, planean introducir la autenticaci\u00f3n de usuarios que no dependa de los servidores de Zoom, y que en su lugar se base en <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/single-sign-on-sso\/\" target=\"_blank\" rel=\"noopener\">tecnolog\u00eda de inicio de sesi\u00f3n \u00fanico (SSO)<\/a> que involucre proveedores de identidad independientes (IDP).<\/p>\n<p>Como resultado, un posible intruso no puede similar la identidad de un usuario, incluso si obtiene el control del servidor de Zoom. Si alguien se une a un evento haci\u00e9ndose pasar por un invitado, pero con una nueva clave p\u00fablica, otros ser\u00e1n alertados de la amenaza potencial.<\/p>\n<p>En la <strong>etapa tres<\/strong> se introducir\u00e1 el concepto del <em>\u00e1rbol de transparencia<\/em>, el cual almacena todas las identidades en una estructura de datos autenticados, auditables para asegurar que todos los usuarios tengan una vista consistente de cualquier identidad y detecten ataques de suplantaci\u00f3n de identidad. \u00a0La intenci\u00f3n de Zoom es fortalecer la protecci\u00f3n de la plataforma contra ataques de tipo <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/man-in-the-middle-attack\/\" target=\"_blank\" rel=\"noopener\"><em>man-in-the-middle<\/em><\/a>.<\/p>\n<p>En la etapa final, <strong>etapa cuatro<\/strong>, los desarrolladores planean facilitar la verificaci\u00f3n de identidad cuando un usuario se conecte desde un dispositivo nuevo. Para enlazar un dispositivo nuevo, el usuario deber\u00e1 confirmar su legitimidad, por ejemplo, al escanear un c\u00f3digo QR en la pantalla de un tel\u00e9fono o computadora confiable. Esto evitar\u00e1 que un atacante enlace un dispositivo a la cuenta de alguien m\u00e1s.<\/p>\n<h3>Seguridad sin sacrificio<\/h3>\n<p>Al implementar mecanismos de seguridad adicionales, es importante considerar c\u00f3mo afectar\u00e1n a los usuarios ordinarios. Los desarrolladores de Zoom tambi\u00e9n est\u00e1n considerando este aspecto. Por ejemplo, una innovaci\u00f3n propuesta es el uso de nubes de dispositivo personal. Esta tecnolog\u00eda simplificar\u00e1 el proceso de agregar nuevos dispositivos a una cuenta mientras ayuda a mantenerla segura.<\/p>\n<h2>\u00bfZoom ser\u00e1 m\u00e1s seguro?<\/h2>\n<p>En corto: s\u00ed. La seguridad de Zoom contin\u00faa mejorando. La compa\u00f1\u00eda ya ha tomado varias medidas para protegerte contra las interferencias de extra\u00f1os, y tiene mucho m\u00e1s herramientas de protecci\u00f3n en desarrollo. Punto aparte, es agradable ver que Zoom est\u00e1 tratando de mezclar la seguridad con la facilidad de uso.<\/p>\n<p>Por supuesto, mucho depende de los usuarios de Zoom. Y como con todo lo que es online, hacer videoconferencias requiere sentido com\u00fan y conocimiento de los mecanismos de protecci\u00f3n disponibles. Es importante acatar las advertencias de la plataforma y evitar las conversaciones confidenciales si algo parece sospechoso y no puedes descartar una filtraci\u00f3n de informaci\u00f3n.<\/p>\n<p><strong><input type=\"hidden\" class=\"category_for_banner\" value=\"ksc-trial-generic\"><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>C\u00f3mo est\u00e1 evolucionando la seguridad de Zoom, qu\u00e9 amenazas todav\u00eda est\u00e1n vigentes y c\u00f3mo los desarrolladores planean eliminarlas.<\/p>\n","protected":false},"author":2581,"featured_media":22335,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2737,2738],"tags":[4228,2867,37,5143,2402,38,5264,3926],"class_list":{"0":"post-22334","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"category-technology","9":"tag-cifrado-de-extremo-a-extremo","10":"tag-conferencia-rsa","11":"tag-privacidad","12":"tag-rsa2021","13":"tag-rsac","14":"tag-seguridad","15":"tag-videoconferencias","16":"tag-zoom"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/22334\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/rsa2021-zoom-end-to-end-encryption\/23055\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/18537\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/9256\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/25012\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/rsa2021-zoom-end-to-end-encryption\/23020\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/rsa2021-zoom-end-to-end-encryption\/25641\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/rsa2021-zoom-end-to-end-encryption\/25107\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/rsa2021-zoom-end-to-end-encryption\/31021\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/rsa2021-zoom-end-to-end-encryption\/9833\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/40562\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/rsa2021-zoom-end-to-end-encryption\/17318\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/rsa2021-zoom-end-to-end-encryption\/17791\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/rsa2021-zoom-end-to-end-encryption\/15048\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/rsa2021-zoom-end-to-end-encryption\/27064\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/rsa2021-zoom-end-to-end-encryption\/31219\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/rsa2021-zoom-end-to-end-encryption\/27291\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/rsa2021-zoom-end-to-end-encryption\/24097\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/rsa2021-zoom-end-to-end-encryption\/29432\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/rsa2021-zoom-end-to-end-encryption\/29224\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/rsac\/","name":"RSAC"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22334","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=22334"}],"version-history":[{"count":4,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22334\/revisions"}],"predecessor-version":[{"id":22340,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22334\/revisions\/22340"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/22335"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=22334"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=22334"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=22334"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}