Y al fin, multa a Zoom
Una de las empresas que más ha sonado durante la pandemia y que más rédito ha obtenido de la COVID-19 es Zoom Video Communications. Se trata de una empresa estadounidense cuya sede se encuentra en California. Pero su proceder, nada transparente con las leyes y la protección de datos, como TECNOideas ha ido pregonando, le ha llevado finalmente a tener que afrontar una cuantiosa multa.
El “éxito” de Zoom se debe principalmente a su sistema de videollamadas y reuniones virtuales que, como todos sabemos se disparó durante la pandemia. Tanto es así que la empresa norteamericana pasó de tener 10 millones de usuarios activos en 2019 a más de 300 millones a finales de abril del 2020. Entonces se estimó que su fundador, Eric Yuan pasó a ser uno de los hombres más ricos del mundo, con una fortuna personal valorada en unos 5.500 millones de dólares.
Pero no es oro todo lo que reluce y tras más de un año avisando sobre la poca seguridad de sus aplicaciones, soluciones y servicios, Zoom empezó a ser vetado por algunos gobiernos y empresas por los riesgos de seguridad.
Desde TECNOideas avisamos pronto sobre las conductas reprochables de Zoom. Accedían a datos de los usuarios sin su autorización, como los contactos. Más tarde se pudo probar que los había vendido, sin permiso ni aviso, a grandes plataformas, como Google, Facebook o Linkedin.
Por todo ello Zoom recibió varias denuncias en Estados Unidos y una demanda colectiva. La empresa reconoció los fallos y ha llegado a un acuerdo extrajudicial, según la cual la compañía de la solución de videoconferencia se verá obligada a pagar un total aproximado de 85 millones de dólares, a repartir entre sus usuarios de pago. En octubre, la jueza de San José (California) encargada del caso, deberá ratificar el acuerdo.
Igualmente, aunque esto será más difícil, se compromete a aplicar seguridad, y no “robar” más datos de sus clientes, ni traficar con ellos. Habrá que verlo, porque estos avisos y compromisos ya estaban sobre la mesa desde noviembre del año pasado.
Para los que deseéis conocer más sobre el tema, queremos recordaros que en este mismo blog hemos hecho una serie de artículos temáticos sobre Zoom, así como varios aportes más, cuando surgía una noticia. Os refrescamos la memoria con un par de ellos: “Éxito y caída de Zoom” publicado el 13 de abril de 2020 y “Nuevo ataque a Zoom con pornografía” que pudisteis leer el 3 de mayo del mismo año.
Además, como profesionales de la ciberseguridad, no hemos recomendado Zoom a nuestros clientes y a los que lo estaban utilizando les hemos ayudado a hacer el cambio a otras plataformas.
En el lado positivo del tema, podemos ver, una vez más, que en estos temas tecnológicos, incluso los más grandes acaban por ser investigados y multados, con cuantiosas cantidades, por no seguir las leyes o la más mínima noción de la ética profesional.
Y por último, una reflexión para todos los que nos seguís, seáis clientes o simples seguidores de la tecnología: no siempre lo más extendido y conocido es lo mejor para cada uno de nosotros, ni lo más fácil de usar, claro…
Imagen principal: Alexandra_Koch en Pixabay
- Publicado en General, Noticias, Privacidad
Antes de enviar el 2020 a la carpeta de eliminados (II)
Segunda entrega de nuestro particular resumen del año 2020 que empezamos la semana pasada con cinco productos estrella y unas cuantas entrevistas a sus protagonistas. Hoy os queremos recordar algunos de los consejos que os hemos dado a lo largo del año, antes de enviar el 2020 a la carpeta de eliminados.
10 consejos para manteneros ciberatentos
1.- ¿YA ESTÁIS CERTIFICADOS PARA EL ESQUEMA NACIONAL DE SEGURIDAD (ENS)?
Más que un consejo es una obligatoriedad. Toda empresa que se relacione con cualquier tipo de Administración debe certificar que cumple el Esquema Nacional de Seguridad. Por supuesto que con TECNOideas podéis certificaros. ¿No creéis que es una magnífica forma de empezar el año?
2.- ¿CUMPLE VUESTRA EMPRESA LA LEY DE PROTECCIÓN DE DATOS? ¿HA SIDO YA MULTADA?
Esperamos que no, que no os hayan multado. Pero las leyes de protección de datos no son una broma y no sólo afectan a las grandes empresas. Muy al contrario, las pymes también deben cumplirlas, así como cualquier organización, despacho profesional o consultorio que maneje datos ajenos, incluidos los de sus clientes. Os explicamos en este artículo los pormenores de la ley. Y os recordamos que nuestro departamento de asesoría os puede ayudar a cumplirla.
3.- GUÍA SOBRE USO DE COOKIES: EL 31 DE OCTUBRE, FECHA LÍMITE
Seguimos con temas relacionados con la amplia legislación que tenemos en el sector. Para muchos fue una sorpresa saber que el 31 de octubre fue la fecha límite para implementar los nuevos criterios de la AEPD. También podéis consultar directamente la Guía en la web de la AEPD.
4.- LA CIBERSEGURIDAD INDUSTRIAL TAMBIÉN EXISTE
No solo existe, sino que se ha convertido en un problema que no debe ignorarse. Los sistemas industriales son la base de las principales infraestructuras y nos olvidamos que están conectadas a internet y son objeto de ciberataques. TECNOideas es experta en ciberseguridad industrial y por ello nuestro experto colaborador Jordi Ubach nos obsequió con dos artículos en los que también hacía gala de su experiencia docente. En el primero de ellos nos habló de la primera línea de defensa OT. En el segundo, en cambio, pasó de la defensa al ataque al explicarnos los ataques al nivel “1” en OT.
5.- ¿Y POR QUÉ NO PUEDO USAR MI EMAIL CORPORATIVO PARA REGISTRARME EN SITIOS?
Nuestros clientes nos hacen muy, muy, muy a menudo esta pregunta, así que al final decidimos hacer un artículo sobre un tema que todo el mundo debería tener muy claro. Lo podéis leer AQUÍ.
6.- ÉXITO Y CAÍDA DE ZOOM
La pandemia nos ha permitido descubrir otras formas de trabajar (aunque sean muy poco ciberseguras) y nos han mostrado la facilidad de hacer webinars. Pero uno de los programas de videollamadas y reuniones virtuales más usado, Zoom, ha pasado de ser una estrella del confinamiento a estrellarse contra la seguridad. Os lo explicamos en un primer artículo que podéis leer AQUÍ y un par de semanas más tarde no tuvimos más remedio que repetir por un nuevo ataque a Zoom con pornografía.
7.- ¿EL FIN DE LOS ATAQUES TIPO PHISHING?
El phishing, una palabreja que ya conoce casi todo el mundo, porque los correos maliciosos están a la orden del día y es una práctica que afecta con total seguridad a todo el mundo. Si no sois una rara avis, seguro que os ha llegado más de uno. Pero Google intenta poner freno a esta práctica poniendo logotipos que ayudarán a los usuarios a identificar a las empresas que envían correos.
8.- CÓMO COMPROBAR SI UN LINK O URL ES MALICIOSO
Seguimos con el tema de los fraudes con otro consejo sumamente interesante. Ya os dijimos que no hay que ser ingeniero para poder analizar una URL, porque hay muchos sitios online donde poder hacerlo. En este artículo os lo explicábamos.
9.- QUÉ ES EL FILTRADO WEB Y COMO NOS AYUDA
Otra cosa que nos molesta de sobremanera es ver en nuestros navegadores publicidad, noticias que nos envían sin solicitarlo o páginas inseguras. Para evitarlo tenemos el filtrado web, que consiste en decidir, con ayuda de un software o un hardware lo que queremos ver y lo que no queremos ver en nuestros navegadores.
10.- DNI 4.0: ¿ES CIBERSEGURO LLEVAR EL DNI EN EL MÓVIL?
El último consejo que os hemos seleccionado es de hace apenas tres semanas, porque a finales de año el Gobierno presentó el DNI 4.0 que incluye una App para poder llevar el DNI en el móvil. Aquí tenéis nuestro comentario sobre esta opción.
- Publicado en General, Seguridad, Sobre TECNOideas
¿La ciberseguridad supera a la ciencia ficción?
Buena pregunta, ¿verdad? Seguro que más de uno de vosotros ha pensado en esa posibilidad más de una vez. Y es lógico si pensamos, por ejemplo, que la Inteligencia Artificial (AI) puede basarse en el sistema inmunitario humano para combatir amenazas o que un algoritmo puede averiguar las palabras escritas por una persona en una videoconferencia sin verle las manos ni el teclado. Os presentamos unos ejemplos de hasta donde puede llegar la ciberseguridad actualmente.
Let’s Encrypt es una autoridad de certificación gratuita, automatizada y abierta creada en 2016 y que proporciona certificados para el cifrado de seguridad. Con ello supera el proceso manual de validación, firma, instalación y renovación de los certificados de sitios web seguros. Ahora Let’s Encrypt tiene un nuevo certificado y el antiguo caducará el 1 de septiembre de 2021. Así es que los software que no se han actualizado desde 2016 no confiarán en este nuevo certificado y sus webs quedarán bloqueadas aun siendo totalmente seguras.
Problemas con las versiones antiguas de Android: perderán compatibilidad en el 2021
Este problema afectará especialmente a los modelos antiguos de Android, concretamente a los anteriores a la versiones 7.1.1, que perderán compatibilidad a partir de esa fecha. Android tiene viejos y conocidos problemas con las actualizaciones del sistema operativo. Para los usuarios de versiones antiguas de Android, Let’s Encrypt recomienda instalar la versión móvil de Firefox. Podéis leer más sobre este tema en la propia web de Let’s Encrypt.
La Biblioteca Apostólica Vaticana confía en la IA para proteger sus manuscritos y documentos históricos
El Papa Nicolás V (1397-1455) fundó la Biblioteca Vaticana, un recinto que ahora posee unos 80.000 documentos. Algunos de ellos son importantísimos manuscritos y documentos históricos. En el año 2012 empezó un proceso de digitalización que durará años. En la actualidad “solo” el 25% del total se ha digitalizado.
Pero desde que empezó el proceso, la Biblioteca sufre una media de 100 amenazas al mes. Esto ha llevado a un acuerdo con la empresa Darktrace, una compañía de inteligencia artificial especializada en defensa cibernética, que tiene su sede en Cambridge y en San Francisco.
Lo que hace preguntarnos ¿La ciberseguridad supera a la ciencia ficción? es que usa una tecnología que se basa en el sistema inmunológico humano, de forma que detecta cambios que podrían ser originados por cualquier tipo de ciberamenaza. Esto es de suma importancia para la Biblioteca Vaticana, temerosa que su valiosa colección pueda ser robada, manipulada o destruida totalmente. Podéis ver las explicaciones que ofrece Darktrace en su comunicado de prensa.
También podéis adentraros más en la Inteligencia Artificial leyendo nuestro artículo sobre el tema.
La ciberseguridad supera a la ciencia ficción cuando es posible saber lo que escribe una persona sin ver ni sus manos ni el teclado.
Aquí tenemos otro ejemplo de que la ciberseguridad supera la ciencia ficción. Un estudio de las universidades de Texas y Oklahoma ha demostrado que existe una técnica de análisis de la señal de imagen cuyo algoritmo permite averiguar hasta el 80% de las palabras escritas por una persona durante una videoconferencia. Y eso es válido para llamadas efectuadas en plataformas como Zoom, Skype o Google Met.
Lo curioso del caso es que lo consigue solo con analizar los movimientos del cuerpo, hombros y brazos. El algoritmo detecta cada pulsación en una tecla aunque las manos queden fuera del plano, al igual que el teclado.
Sin embargo el estudio revela que la posibilidad de conocer las palabras que se escriben también depende de factores como la técnica de escritura de las personas, la webcam o la vestimenta de la persona. Los más curiosos podéis ver el artículo científico AQUÍ.
Google Drive permitirá a sus usuarios abrir
archivos encriptados
Y acabamos con la noticia que Google quiere introducir una función que conseguirá que los usuarios de Drive podrán abrir y descargarse archivos cifrados. No es ningún secreto que el almacenamiento en la nube es usado masivamente por los usuarios por su comodidad. Pero también lo es que no se trata de un sistema seguro. Podéis leer un post nuestro al respecto. Por eso, desde hace tiempo reclamamos que quien quiera usar Drive de forma segura debe seguir unos pasos mínimos, como el uso de un contraseña, la habilitación de la autentificación de dos factores o añadir aplicaciones que puedan ser compatibles con Google Drive, como es el caso de Boxcryptor o el que nosotros os recomendábamos en el post antes mencionado, Cryptomator.
Podéis leer la noticia en la web XDA-Developers, una extensa comunidad de desarrolladores de software para dispositivos móviles.
Nuevo ataque a Zoom con pornografía
El pasado 13 de abril publicamos un post titulado “Éxito y caída de Zoom”, donde explicábamos como esta exitosa plataforma de videoconferencias había caído en desgracia por vulnerabilidades en sus sistemas. En el post relacionábamos cronológicamente lo sucedido.
Pero ahora ha llegado un nuevo ataque, que por sus características y situación geográfica (ha ocurrido en Cataluña) nos ha llevado a volver a hablar de Zoom.
Hace unos días, durante la presentación de un software de gestión para el mundo de los animales de compañía, aparecieron unas imágenes de pornografía infantil sumamente desagradables. Fue tras 55 minutos de una conferencia en la que habían 93 usuarios conectados.
Los informáticos responsables de la organización de la conferencia intentaron por tres veces eliminar las imágenes sin éxito, hasta que cancelaron la videoconferencia. Pero tardaron un minuto largo en hacerlo, durante el cual todos los usuarios pudieron ver la pornografía.
Kiriakos Stavrou, un chipriota que lleva 11 años afincado en España es el máximo responsable de la empresa organizadora. Explicó que en el contrato con Zoom, en los párrafos 3B y 4 prácticamente informan que Zoom no se encarga de nada, que sólo es un mediador, pero es sabido que la ley está por encima de cualquier contrato privado. Stavraou ha denunciado el tema a a los Mossos (policía autonómica catalana).
No es la primera vez que Zoom es atacado con pornografía, ni tampoco ha sido la primera denuncia presentada a los Mossos sobre este tipo de prácticas, pero la dureza de las imágenes en esta ocasión ha motivado que el tema se tratara en el informativo de máxima audiencia de TV3.
Se conoce con el nombre de “zoombombing” la práctica de secuestrar videollamadas de grupo. No es una situación nueva, pero el confinamiento ha ayudado a extenderla. Y se puede realizar fácilmente, ya que estas plataformas ofrecen la opción de uso compartido de la pantalla, para que se pueda mostrar a todos los participantes documentos, presentaciones, etc. Zomm permite este uso compartido de la pantalla, de modo que cualquier participante en la reunión lo puede hacer sin necesitar permiso previo del organizador. Ahí es donde falla la plataforma, junto a otros fallos que ya explicamos en el post anterior a este y que podéis volver a leer AQUÍ.
Seguramente será difícil encontrar al delincuente, porque este tipo de ataques suele hacerse con robots, lo que dificulta la localización del individuo y a medida que pasa el tiempo más difícil es. Si a esto añadimos que el programador del robot puede encontrarse en cualquier lugar del mundo, comprenderemos la complejidad del tema.
El debate que hace tiempo existe es saber si Zoom puede ser también responsable o se considera un simple mediador. Pero una cosa está clara: no ha conseguido solucionar sus problemas de vulnerabilidad.
Lo que debemos sacar de este ejemplo tan desagradable y cercano es pensar que si una plataforma como Zoom puede ser objeto de este tipo de ataques, ¿qué no será posible que nos hagan en nuestros sistemas?Por suerte, TECNOideas ofrece muchos servicios y formación para que los riesgos de sufrir ataques sean mínimos.
- Publicado en Informática industrial, Noticias, Seguridad, Teletrabajo
Éxito y caída de Zoom
A veces, en este sector, te conviertes un poco en profeta, porque no te fías de ciertos productos y con hechos y pruebas avisas a tus clientes, y al final, el tiempo acaba por darte la razón.
No es que seamos adivinos, pero sí persistentes, y la experiencia ayuda, así que cuando empezamos a ver “cosas raras” investigamos.
Este es el caso de Zoom, un sistema de videoconferencia y de reuniones virtuales que desde el confinamiento forzoso por el Covid-19, ha sido protagonista y lo empezó a usar mucha gente. Pero esos pequeños detalles, que por cantidad de uso molestaban solamente a unos pocos, empezaron a ser detectados por los usuarios y así llegaron a molestar a muchísimas personas.
Repasamos brevemente la polémica sobre este sistema que nació con la idea de facilitar la interconexión en el mundo de las videoreuniones empresariales.
• Fallo de diseño: para facilitar la conexión, sólo con un enlace y unas pruebas aleatorias, personas ajenas a la videoconferencia podían entrar sin ningún permiso concreto. ¿Y qué hicieron? De todo: insultar, incordiar, molestar, transmitir imágenes, etc… Por supuesto, todo esto tiene un nombre: ZOOMBOMBING.
Aunque los desarrolladores dijeron que muchos usuarios publican los enlaces para que la gente los clique y puedan verlos (estudiantes cuando están con sus profesores, por ejemplo), la verdad es que hay hasta scripts (lenguaje de programación) para buscar videollamadas activas de Zoom, como por ejemplo ESTE.
• Otro fallo de diseño: por muy segura que dijeran que fuese la aplicación, (que luego se demostró que no era así), ésta no disponía de cifrado de extremo a extremo, siendo por ello muy vulnerable.
• Julio de 2019: se hizo pública una vulnerabilidad para Apple, por la que el programa exponía a todo Internet a una conexión de un puerto con la cámara del ordenador directamente. Zoom no corrigió esta vulnerabilidad y tuvo que ser Apple la que parcheara el problema.
• 27 de Marzo de 2019: se hizo público lo que algunos expertos sospechábamos: que Zoom enviaba datos a Facebook de las videoconferencias que se realizaban con este sistema. Y por supuesto, sin indicarlo en sus políticas de privacidad. Se habían realizado pruebas de conversaciones concretas, y luego se recibía publicidad en esta red social. Privacidad cero.
• 31 de marzo de 2020: se prueba que al hacer la instalación en un Mac, los privilegios de este programa, pasan a ser del Administrador del sistema. Hay que tener mucho cuidado con lo que puede llegar a hacer un Administrador con este rol.
• 1 de abril de 2020: se exponen hashes y ficheros en las invitaciones de Windows, y un usuario experto puede descifrar las contraseñas en menos de un minuto.
• 2 de abril de 2020: el periódico The New York Times publica una investigación sobre Zoom, donde explica que la aplicación cuenta con un apartado de minería de datos, que relaciona los nombres de usuarios de Zoom, con los correos de Linkedin (sin permiso), y aparece la información en un icono al lado de cada usuario en una videollamada.
• 3 de abril de 2020: se filtran listados de miles de llamadas grabadas, por Zoombombing, y publicadas en Internet. Privacidad cero parte 2.
• 6 de abril de 2020: Incibe publica un aviso sobre la vulnerabilidad descubierta en Windows. El instituto indica que, además de contraseñas expuestas, alguien externo puede ejecutar un código remotamente, como Ransomware o Malware. Podéis ver el aviso del Incibe AQUÍ.
• 10 de abril de 2020: se publica el parche para las diferentes versiones de Zoom, por lo que se recomienda descargar o actualizar a la última versión del programa, ya sea en PC o en dispositivos móviles.
Morir de éxito o pegarse un tiro en el pie, hay opiniones para todos los gustos. A todos estos fallos hay que sumar que se registraron alrededor de 1.700 dominios relacionados con Zoom, su nombre y variantes, y que la compañía anuncio el día 3 de abril que durante los siguientes 90 días solo trabajaría en arreglar todos estos problemas y no sacaría nuevas funcionalidades.
Zoom fue creado en Estados Unidos en 2011 por Eric Yuan, un matemático e ingeniero programador chino que estuvo en el equipo original de WebEx antes de que lo comprara Cisco, empresa en la que llegó a ser vicepresidente corporativo de ingeniería. Yuan abandonó finalmente Cisco para crear Zoom.
Desde su fundación, en 2011, Zoom tenía una pequeña cuota de mercado, pero en 2019 tuvieron un aumento significativo, con la salida a bolsa, duplicando su precio objetivo. Y con el confinamiento, triplicaron su valor, llegando hasta los 150 dólares.
El atractivo de esta aplicación era dar más que los demás, porque, de no ser así, la cuota hubiera seguido siendo la misma. La pregunta del millón podría ser: pero en todos estos años, ¿cómo ha aguantado sin tantos usuarios Premium? Y la respuesta, probablemente, es que se llevaba un buen pellizco de Facebook.
Si sois de los que pensáis que…
• la privacidad tampoco vale tanto, y que suplantar vuestra identidad no vale para nada…
• que da lo mismo que vuestras conversaciones sean grabadas sin permiso y luego os envíen publicidad a medida en Facebook…
• que todo lo demás que nombramos en este artículo, os tiene sin cuidado…
… sin duda Zoom es vuestra aplicación.
Pero si ya estáis concienciados…
• y necesitáis una solución de videoconferencia, porque aunque pronto salgamos del confinamiento…
• ya tenéis claro lo provechoso y productivo que resulta reunirse virtualmente, (ahorro de tiempo, de desplazamientos, de dinero)…
• y que la tecnología permite muy buenas alternativas...
… pensad que TECNOideas siempre está al día de todos los problemas de seguridad y de las soluciones comerciales. Por ello puede recomendar en todo momento y personalizadamente las necesidades de cada uno de sus clientes, sean gran empresa, PYME, consultorios médicos, despachos profesionales, etc.
TECNOideas realiza auditorias de sistemas informáticos e industriales, para detectar vulnerabilidades que expongan sus datos, y poder evitarlas.
Además TECNOideas tiene un importante apartado de formación, donde profesionales de tecnologías de la información realizan cursos a distancia y en las empresas, para que sus trabajadores o sus cargos intermedios y directivos tengan una cultura de la ciberseguridad que minimice los riesgos.
- Publicado en Consultoría, Formación, Malos hábitos, Noticias, Privacidad, Seguridad
Español 
Català