Noticias

Zoom admite que algunas llamadas se enrutaron a través de China por error

Horas después de que los investigadores de seguridad en Citizen Lab informaran que algunas llamadas de Zoom se enrutaron a través de China, la plataforma de videoconferencia ofreció una disculpa y una explicación parcial.

Para recapitular, Zoom se ha enfrentado esta semana a una gran cantidad de titulares sobre sus políticas de seguridad y prácticas de privacidad, ya han aumentado exponencialmente su presencia mundial gracias a que cientos de millones de personas se han visto obligadas a trabajar desde su hogar durante la pandemia de Coronavirus.

Los últimos hallazgos han llegado ahora, cuando los investigadores de Citizen Lab han comunicado que algunas llamadas realizadas en América del Norte se enrutaron a través de China, al igual que las claves de cifrado utilizadas para proteger esas llamadas. Pero como se señaló esta semana, Zoom no está encriptado de extremo a extremo las comunicaciones, a pesar de las afirmaciones anteriores de la compañía, lo que significa que Zoom controla las claves de encriptación y, por lo tanto, puede acceder al contenido de las llamadas de sus clientes. Zoom dijo en una publicación del anterior de su blog que “ha implementado controles internos robustos y validados para evitar el acceso no autorizado a cualquier contenido que los usuarios compartan durante las reuniones”. Sin embargo, no se puede decir lo mismo de las autoridades chinas, que podrían exigir que Zoom entregue cualquier clave de cifrado en sus servidores en China para facilitar el descifrado del contenido de las llamadas cifradas.

Zoom dice ahora mientras redoblaban esfuerzos por aumentar la capacidad de su servidor para acomodar la afluencia masiva de usuarios en las últimas semanas, permitieron “por error” que dos de sus centros de datos chinos aceptaran llamadas como respaldo en caso de congestión de la red.

El CEO de Zoom, Eric Yuan lo ha explicado así:

Durante las operaciones normales, los clientes de Zoom intentan conectarse a una serie de centros de datos primarios en (o cerca) de la región de un usuario, y si esos intentos de conexión múltiple fallan debido a la congestión de la red u otros problemas, los clientes llegarán a dos centros de datos secundarios de una lista de varios centros de datos secundarios como un posible puente de respaldo a la plataforma Zoom. En todos los casos, los clientes de Zoom reciben una lista de centros de datos apropiados para su región. Este sistema es crítico para la confiabilidad de la marca registrada de Zoom, particularmente durante tiempos de estrés masivo en Internet ”.

En otras palabras, se supone que las llamadas de América del Norte deben permanecer en América del Norte, al igual que las llamadas europeas deben permanecer en Europa. Esto es lo que Zoom llama a su centro de datos “geofencing” (valla geológica). Pero cuando registran picos de tráfico exagerados, la red cambia el tráfico al centro de datos más cercano con la mayor capacidad disponible.

Sin embargo, se supone que China es una excepción, en gran parte debido a las preocupaciones de privacidad entre las empresas occidentales. Pero las propias leyes y regulaciones de China exigen que las compañías que operan en el continente deban mantener los datos de los ciudadanos dentro de sus fronteras.

Zoom dijo en Febrero que “la capacidad agregada” a sus regiones chinas para manejar la demanda, también se incluyó en una lista blanca internacional de centros de datos de respaldo, lo que significaba que los usuarios no chinos estaban conectados en algunos casos a servidores chinos cuando los centros de datos en otras regiones no estaban disponibles. Zoom ha dicho que esto ha sucedido en “circunstancias extremadamente limitadas”. Zoom dijo que ahora ha revertido esa lista blanca incorrecta. 

Pero quedan algunas preguntas por resolver. La publicación del blog solo aborda brevemente su diseño de cifrado. Citizen Lab criticó a la compañía por “encriptar su propio” cifrado. Los expertos han rechazado durante mucho tiempo los esfuerzos de las empresas para construir su propio cifrado, porque no se somete al mismo escrutinio y revisión por pares que los estándares de cifrado que todos usamos hoy en día.

Bill Marczak, uno de los investigadores del Citizen Lab que escribió el informe ha dicho que era “cautelosamente optimista” sobre la respuesta de Zoom.

“El mayor problema aquí es que Zoom aparentemente ha escrito su propio esquema para encriptar y asegurar llamadas”, dijo, y que “hay servidores de Zoom en Beijing que tienen acceso a las claves de encriptación de la reunión”.

“Si usted es una entidad con recursos suficientes, obtener una copia del tráfico de Internet que contiene alguna llamada cifrada de Zoom de alto valor tal vez no sea tan difícil”, dijo Marcak.

“El gran cambio a plataformas como Zoom durante la pandemia COVID-19 hace que plataformas como Zoom sean objetivos atractivos para muchos tipos diferentes de agencias de inteligencia, no solo para China”, dijo. “Afortunadamente, la compañía (hasta ahora) ha tocado todas las notas correctas al responder a esta nueva ola de escrutinio de los investigadores de seguridad, y se ha comprometido a realizar mejoras en su aplicación”.


Fuente: TechCrunch

Categorías:Noticias, Seguridad

Tagged as: , ,

2 replies »

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s