El cifrado de extremo a extremo llega a Zoom

Cómo está evolucionando la seguridad en Zoom, qué amenazas siguen vigentes y cómo planean los desarrolladores eliminarlas.

La presentación de Zoom en la conferencia RSA 2021 se centró en el cifrado de extremo a extremo para las reuniones en Zoom Cloud. La empresa explicó por qué sus desarrolladores están centrados en este tema, cómo tienen pensado aumentar la seguridad de las llamadas y qué otras funciones de seguridad pueden esperar los usuarios.

Un poco de historia

Con motivo de la pandemia, muchos tuvimos que implementar el teletrabajo a largo plazo y comunicarnos con los compañeros y seres queridos mediante software de teleconferencias. La amplia popularidad de Zoom llamó la atención tanto de los expertos en seguridad como de los ciberdelincuentes, que no tardaron en descubrir los errores de seguridad de la plataforma. Por ejemplo, se encontraron vulnerabilidades en el software que permitían a los atacantes espiar a los usuarios mediante sus cámaras y micrófonos, incluso los asaltos de los trolls online recibieron su propio nombre: Zoombombing. La respuesta de Zoom fue rápida y de gran alcance, pero los problemas persistían.

Una de las quejas principales sobre Zoom era que la plataforma utilizaba el cifrado de punto a punto (P2PE) en lugar del cifrado de extremo a extremo (E2EE).

E2EE vs. P2PE

A simple vista, los dos sistemas parecen similares: ambos cifran los datos que los usuarios intercambian, pero con el P2PE, el servidor puede acceder a los mensajes de los usuarios, mientras que el E2EE cifra la información en el dispositivo del remitente y solo la descifra del lado del destinatario. Este detalle en apariencia insignificante puede causar problemas, algo que los desarrolladores de Zoom resaltaron en la conferencia:

  • Los ciberdelincuentes podrían violar el servidor, robar las claves de cifrado que almacena y unirse a reuniones suplantando a invitados reales o enviar mensajes falsos.
  • Los empleados del proveedor del servicio en la nube o del mismo Zoom podrían obtener acceso a las claves y robar la información de los usuarios.

Nadie quiere que sus conversaciones privadas con la familia o los amigos, y mucho menos las charlas de negocios secretas, se hagan públicas. Es más, sería extremadamente difícil detectar si un ciberdelincuente utiliza las claves robadas solo como oyente pasivo.

El E2EE resuelve estos problemas al almacenar las claves de descifrado en los dispositivos de los usuarios, y en ningún otro lado. Esto significa que hackear el servidor no permitiría que un intruso escuchara a escondidas una videoconferencia.

En consecuencia, muchos ya esperaban que Zoom implementara el E2EE, que ya es una función predeterminada en las aplicaciones de mensajería.

El cifrado de extremo a extremo en Zoom: La situación actual

Los desarrolladores han escuchado las críticas y tomado medidas para mejorar la seguridad de la plataforma, incluida la implementación del E2EE.

Zoom lleva utilizando el E2EE para las llamadas de audio y vídeo, así como para el chat, desde el otoño del 2020. Cuando está habilitado, Zoom protege la información de los participantes con la llamada clave de cifrado de conferencias. Esta clave no se almacena en los servidores de Zoom, por lo que ni siquiera los desarrolladores pueden descifrar el contenido de las conversaciones. La plataforma almacena solo las ID de los usuarios en forma cifrada y algunos metadatos de la reunión como la duración de la llamada.

Como protección contra las conexiones externas, los desarrolladores también introdujeron la función Heartbeat, una alerta que el anfitrión de la reunión envía de forma automática a otros usuarios. Contiene, entre otras cosas, una lista de asistentes a quienes el anfitrión de la reunión envía la clave de cifrado vigente. Si alguien que no está en la lista se une a la reunión, todos sabrán de inmediato que algo no anda bien.

Otra manera de mantener fuera a los participantes sin invitación es bloquear la reunión (mediante la función Bloquear reunión) una vez que se hayan reunido todos los invitados. Es necesario bloquear las reuniones de forma manual, pero una vez hecho, nadie más puede unirse, incluso aunque cuente con la ID y la contraseña de la reunión.

Zoom también ofrece protección contra los ataques de tipo man-in-the-middle con un reemplazo de la clave de cifrado. Para asegurarse de que un extraño no esté escuchando a escondidas, el anfitrión de la reunión puede hacer clic en un botón en cualquier momento para generar un código de seguridad basado en la clave actual de cifrado de la reunión. De la misma forma, se genera un código para el resto de los participantes de la reunión de forma automática. El anfitrión solo debe leer el código en voz alta; si coincide con el de los demás, todos están usando la misma clave y todo marcha bien.

Por último, si el anfitrión de la reunión sale y otro usuario toma su lugar, la aplicación notifica de este cambio. Si esto le parece sospechoso al resto de los participantes, pueden suspender cualquier conversación confidencial mientras se soluciona.

Por supuesto, si solo estás en una fiesta con tus amigos, probablemente no necesites utilizar todos estos mecanismos de seguridad. Pero si están en juego secretos comerciales o de cualquier otro tipo, estas herramientas de protección resultan verdaderamente útiles, por lo que todos los participantes de reuniones importantes deben conocerlas y saber cómo usarlas.

A pesar de las innovaciones, los desarrolladores de Zoom admiten que todavía queda mucho por hacer. La charla en la RSA 2021 también arrojó luz al porvenir de Zoom.

El futuro de Zoom

Los desarrolladores identificaron varias amenazas para las cuales aún deben implementar contraataques eficaces. Una de ellas es la infiltración de personas que se hacen pasar por usuarios invitados a las reuniones. Otra es que la protección del E2EE no evita que los atacantes conozcan ciertos metadatos, como la duración de las llamadas, los nombres de los participantes y las direcciones IP.  Tampoco podemos excluir las vulnerabilidades del programa de la lista de riesgos; en teoría, los ciberdelincuentes podrían incrustar código malicioso en Zoom.

Con estas amenazas en mente, los desarrolladores de Zoom listaron los siguientes objetivos:

  • Garantizar que solo los participantes invitados y aprobados obtengan acceso a los eventos.
  • Evitar que los participantes que sean expulsados de un evento puedan volver a conectarse.
  • Evitar interferencias de cualquier persona no admitida a la reunión.
  • Permitir que los asistentes de confianza puedan notificar de cualquier abuso al equipo de seguridad de Zoom.

Hoja de ruta

Para lograr estas metas, los desarrolladores crearon un hoja de ruta de cuatro etapas. La primera etapa ya ha sido implementada. Como ya hemos comentado, se ha cambiado el sistema para gestionar la clave de cifrado de conferencias de forma que se almacene solo en los dispositivos de los usuarios, así como se han mejorado los medios para evitar que extraños se unan a las reuniones.

En la segunda etapa, planean introducir una autentificación de usuarios que no dependa de los servidores de Zoom y que, en su lugar, se base en una tecnología de inicio de sesión único (SSO) que involucre proveedores de identidad independientes (IDP).

Como resultado, un posible intruso no podría similar la identidad de un usuario, incluso aunque obtenga el control del servidor de Zoom. Si alguien se une a un evento haciéndose pasar por un invitado, pero con una nueva clave pública, los usuarios recibirán una alerta de amenaza potencial.

En la tercera etapa se introducirá el concepto del árbol de transparencia, que almacena todas las identidades en una estructura de datos autentificados y auditables para asegurar que todos los usuarios tengan una vista consistente de cualquier identidad y detecten ataques de suplantación de identidad. La intención de Zoom es fortalecer la protección de la plataforma contra los ataques man-in-the-middle.

Al final, en la cuarta etapa, los desarrolladores planean facilitar la verificación de identidad cuando un usuario se conecte desde un dispositivo nuevo. Para enlazar un dispositivo nuevo, el usuario deberá confirmar su legitimidad, por ejemplo, al escanear un código QR en la pantalla de un teléfono u ordenador de confianza. Esto evitará que un atacante enlace un dispositivo a la cuenta de otro usuario.

Seguridad sin sacrificio

Al implementar mecanismos de seguridad adicionales, es importante considerar cómo afectará esto a los usuarios ordinarios. Los desarrolladores de Zoom también están considerando este aspecto. Por ejemplo, una de las innovaciones propuestas es el uso de las nubes de dispositivos personales. Esta tecnología simplificará el proceso de agregar nuevos dispositivos a una cuenta, además de ayudar a mantenerla segura.

Por ejemplo, si normalmente utilizas un ordenador para las llamadas por Zoom, pero después descargas e inicias sesión desde tu smartphone, la próxima vez que abras Zoom en tu ordenador, verás que se ha iniciado sesión en un nuevo dispositivo. Si lo apruebas, ambos dispositivos estarán vinculados a una sola nube, y otros participantes de la reunión sabrán que eres tú y no un impostor.

Una nube de dispositivo también te permite verificar qué dispositivos están conectados a tu cuenta y revocar el estatus de confianza de cualquier otro equipo conectado. Además de esto, los desarrolladores tienen pensando agregar una opción para pasar al E2EE en mitad de la reunión y muchas otras funciones útiles.

¿Zoom será más seguro?

A corto plazo, sí. La seguridad de Zoom continúa mejorando. La compañía ya ha tomado varias medidas para protegerte contra las interferencias de los extraños y tiene muchas más herramientas de protección en desarrollo. Por otro lado, es agradable ver que Zoom está tratando de mezclar la seguridad con la facilidad de uso.

Por supuesto, depende mucho de los usuarios de Zoom. Y, como con todo lo que es online, hacer videoconferencias requiere sentido común y conocimiento de los mecanismos de protección disponibles. Es importante acatar las advertencias de la plataforma y evitar las conversaciones confidenciales si algo parece sospechoso y no puedes descartar una filtración de información.

Consejos