Cada día surge nueva información con relación a la privacidad en la popular plataforma de videoconferencias (Zoom). Información que casi siempre nos describe una defecto en su diseño, y esto probablemente irá en aumento conforme más personas la usen, pues naturalmente, crecerá la fuente de escrutinio. Los defectos van desde transferencias de información a Facebook, pasando por videoconferencias interrumpidas por contenido pornográfico y discurso de odio (para lo cual se recomienda establecer contraseñas a la videoconferencia, y que el host de la reunión establezca que sólo él puede compartir su pantalla, sobre todo si se trata de una clase online), hasta la opción de verificación que posee el host para saber si es que algún participante minimizó la pantalla para contestar un correo o hacer otra cosa. El hecho es que los defectos de diseño parecen estar a la orden día.
Pero esta vez, nos concentramos en un aspecto en particular. Pues parece que la plataforma no estuvo en lo correcto al asegurar que poseían encriptación de extremo a extremo (por el que solo los usuarios que se comunican pueden conocer el mensaje, no terceros), señaló Intercept. Señalar que tu servicio tiene una característica que en la realidad no posee es una práctica engañosa que podría estar levantando las alertas desde un punto de vista de protección al consumidor.
Al parecer existe una diferencia en la garantía de seguridad dependiendo de si te conectas a una videoconferencia usando el audio de la computadora, a que te conectes usando tu teléfono. En el primer escenario sí habría encriptación de extremo a extremo, en el segundo no. Adicionalmente, sostienen que la encriptación no estaría disponible para contenido de video y audio, aquí aplicaría el denominado “cifrado de transporte” (donde el contenido es privado para cualquier tercero, pero no para el propio Zoom).
Por otro lado, de acuerdo a Matthew Green, profesor de ciencias de la computación en la Universidad Johns Hopkins, es difícil cifrar de extremo a extremo videoconferencias grupales, dado que el proveedor de servicios necesita identificar a la persona que está hablando para actuar como un tablero de conmutadores, a fin de que pueda enviar solo un video stream de alta resolución de la persona que está hablando y video streams de baja resolución de los demás, y así dependiendo del locutor. Esta interacción es más fácil si es que el proveedor de servicios puede tener acceso a la videoconferencia. Sin embargo, es verdad que podría agregar otros mecanismos que le permitirían actuar como un “tablero de conmutadores” pero sin que la videoconferencia deje de ser encriptada de extremo a extremo. Este es el caso del servicio de FaceTime de Apple, que permite videoconferencias grupales, y a la vez, la conversación queda cifrada de extremo a extremo.
De acuerdo a Intercept, solo la funcionalidad de chat de texto en la reunión está cifrada de extremo a extremo.
¿Cuál es el problema? El hecho de que no exista el cifrado de extremo a extremo posibilita que Zoom pueda entregar grabaciones de videoconferencias cuando así se lo demande alguna entidad pública o la policía en atención de algún requerimiento legal. De otro lado, una herramienta que ayudaría a esclarecer la ocurrencia o no de esta situación es la publicación de informes de transparencia (como lo hacen Google, Facebook o Microsoft) de tal forma que los usuarios puedan verificar si es que efectivamente alguna entidad pública ha hecho o está haciendo requerimientos de información a Zoom. En esa línea, como lo informamos en una nota previa, la ONG Access Now realizó un requerimiento de publicación de este informe de transparencia.
