Zoom no admiten el cifrado de extremo a extremo
Zoom, es un servicio de videoconferencia cuyo uso explotó en medio de la pandemia de Covid-19, afirma implementar un cifrado de extremo a extremo, un protocolo ampliamente conocido como la forma más privada de comunicación en Internet ya que protege las conversaciones de todas las partes exteriores.
Con millones de personas en todo el mundo trabajando desde casa para frenar la propagación del coronavirus, el negocio está en auge para Zoom, que ha llamado la atención sobre la empresa y sus prácticas de privacidad.
Sin embargo, Zoom ofrece confiabilidad, facilidad de uso y al menos una garantía de seguridad muy importante: siempre y cuando se asegure de que todos en una reunión de Zoom se conecten usando “audio de computadora” para realizar una llamada desde un teléfono, la reunión es segura con encriptación de extremo a extremo, al menos según eso es lo que el sitio web de Zoom y su documento técnico sobre seguridad y la interfaz de usuario de la aplicación presumen.
Pero a pesar de este marketing engañoso, el servicio no admite el cifrado de extremo a extremo para contenido de video y audio, al menos como se entiende comúnmente el término. En cambio, ofrece lo que generalmente se llama cifrado de transporte.
En el documento técnico de Zoom, hay una lista de “características de seguridad previas a la reunión” disponibles para el organizador de la reunión que comienza con “habilitar una reunión cifrada de extremo a extremo (E2E)”.
Más adelante en el documento técnico, dice “Asegure una reunión con cifrado E2E” como una “capacidad de seguridad de reunión” disponible para los anfitriones de la reunión. Cuando un anfitrión inicia una reunión con la opción “Requerir cifrado para puntos finales de terceros” habilitada, los participantes ven un candado verde que dice: “Zoom usa una conexión cifrada de extremo a extremo” cuando se desplazan sobre él.
Cuando diversos usuarios intentaron contactar a la empresa para averiguar si las reuniones de video están realmente encriptadas de extremo a extremo, un portavoz de Zoom escribió:
El cifrado E2E no se puede habilitar para las videoconferencias de Zoom. Las reuniones de video con zoom utilizan una combinación de TCP y UDP. Las conexiones TCP se establecen usando TLS y las conexiones UDP se encriptan con AES usando una clave negociada a través de una conexión TLS ”.
El cifrado utilizado por Zoom para proteger las reuniones es TLS, la misma tecnología que usan los servidores web para proteger los sitios web HTTPS. Esto significa que la conexión entre la aplicación Zoom que se ejecuta en la computadora o teléfono de un usuario y el servidor Zoom está encriptada de la misma manera que la conexión entre un navegador web y un sitio web.
Este es el cifrado de transporte, que es diferente del cifrado de extremo a extremo porque el servicio Zoom en sí mismo puede acceder al contenido de video y audio no cifrado de las reuniones de Zoom. Entonces, cuando se tenga una reunión de Zoom, el contenido de video y audio permanecerá privado para cualquiera intente interceptar el tráfico, pero no seguirá siendo privado para la empresa.
Para que una reunión de Zoom esté encriptada de extremo a extremo, el contenido de video y audio debe estar encriptado para que solo los participantes de la reunión puedan descifrarlo. El servicio Zoom en sí podría tener acceso al contenido cifrado de la reunión, pero no tendría las claves de descifrado necesarias para descifrarlo (solo los participantes de la reunión tendrían estas claves) y, por lo tanto, no tendría el capacidad técnica para escuchar reuniones privadas.
“Cuando usamos el término ‘de extremo a extremo’ en nuestras otras publicaciones, se refiere a la conexión cifrada desde el punto final de Zoom al punto final de Zoom”, dijo un portavoz de Zoom, aparentemente refiriéndose a Servidores de zoom como “puntos finales” incluso si están entre clientes de Zoom. “El contenido no se descifra mientras se transfiere a través de la nube Zoom” a través de la red entre estas máquinas.
Solo cumplir con la funcionalidad de chat de texto parece beneficiarse del cifrado de extremo a extremo.
Fuente: https://www.consumerreports.org