Zoom: opaca política de privacidad, control de riesgos sobre la marcha.

14 mar

Introducción

La pandemia desatada por la COVID-19 que desde finales de 2019 y hasta nuestros días ha paralizado parte del mundo debido a las medidas de aislamiento social decretadas en muchos países, provocó que empresas, escuelas, gobierno y otras organizaciones implementaran el teletrabajo como alternativa para tratar de continuar con su actividad, sustituyendo los espacios físicos por espacios virtuales que hicieran posible la colaboración, la innovación, la tutoría y la creación de equipos.

Por desgracia, la mayoría de estas organizaciones, empresas y negocios no estaban preparados en cuanto a infraestructura tecnológica, equipamiento y conocimientos en materia de protección de datos, que les permitieran teletrabajar dentro de un contexto seguro. La realidad dio cuenta de ello pues, a medida que el problema sanitario avanzó a nivel global, la actividad de los cibercriminales se incrementó.

Ante este nuevo escenario, las plataformas digitales de videollamadas tuvieron un repunte histórico y una de las que más relevancia tomó gracias a su flexibilidad y productividad fue Zoom, que pasó de ser utilizada por 10 millones de participantes diarios en diciembre de 2019 a 300 millones de participantes en abril de este año.

Zoom 1 es una aplicación de software de videoconferencia con licencias gratuitas o de paga (según sea el uso) que permite interactuar virtualmente con compañeros de trabajo, amigos o empleadores cuando las reuniones en persona no son posibles; esta App hace que el teletrabajo parezca mucho más humano y ayuda a sentirse conectado, pero su uso puede conllevar mayores riesgos a la hora de compartir información, especialmente aquella de carácter sensible, debido a su alto nivel de exposición.

Zoom: opaca política de privacidad, control de riesgos sobre la marcha

Como hemos dicho, la pandemia nos tomó por sorpresa y en medio de una cuarentena obligada adoptamos -sin reflexionar lo suficiente- una serie de medidas para mantener los flujos de trabajo y reuniones que nos permitieran seguir conectados y productivos; quizá por esta inercia descargamos y utilizamos la aplicación de Zoom sin conocer que, durante años, la compañía no priorizó la seguridad y la privacidad en su planteamiento de desarrollo 2.

El incremento en el uso de Zoom estuvo acompañado por el hallazgo de múltiples problemas de seguridad y se convirtió en tierra fértil para que los cibercriminales aprovecharan la creciente demanda para distribuir malware mediante descargas maliciosas de la herramienta. Pero más allá de los problemas de phishing o malware asociados a esta aplicación, lo verdaderamente preocupante es lo que sucedió con los datos personales de los usuarios incluyendo su imagen.

Uno de los principales problemas de Zoom fue que la aplicación envió datos de sus usuarios a Facebook; otro fue que permitió que personas ajenas al grupo pudieran entrometerse en las conversaciones y boicotearlas -incluso con contenidos racistas y pornográficos-. También se desató mucha incertidumbre respecto a su política de privacidad, pues parecía darle a Zoom el derecho de transferir los datos personales de los usuarios a su libre arbitrio.

A pesar de haberse vuelto una aplicación de lo más popular en los últimos meses, Zoom enfrentó un sinfín de cuestionamientos particularmente para los usuarios de iOS, ya que la compañía no hacía mención clara y explícita del uso y tratamiento de datos en su aviso de privacidad y no ofrecía al usuario una opción para decidir no enviar tales datos 3.

En cuanto a seguridad, la versión de Zoom para Windows fue vulnerable a un ataque de inyección de ruta UNC que permitió robar las credenciales de inicio de sesión de Windows e incluso ejecutar comandos arbitrarios 4; también admitió una función de minería de datos no revelada que combinó automáticamente los nombres de los usuarios y las direcciones de correo electrónico con sus perfiles de LinkedIn al iniciar sesión, incluso si los usuarios eran anónimos o usaban un seudónimo en su llamada.

Adicionalmente, se halló otro problema en el cifrado para asegurar las comunicaciones; aunque en teoría éste era de extremo a extremo, en la práctica demostró no ser así para el caso de usuarios que tenían habilitados servicios como la grabación en la nube; en estos casos, Zoom accedía a las claves de descifrado, lo que hizo posible que ciberdelincuentes y/o agencias de inteligencia de algunos gobiernos obtuvieran esas claves.

En marzo pasado, de acuerdo con una investigación del Washington Post 5, al menos 15 mil videollamadas de usuarios de Zoom estaban disponibles a cualquier persona violando la privacidad de miles de individuos; entre las grabaciones se cuentan sesiones terapéuticas, reuniones de negocio y hasta clases con niños de educación básica. Aunque la compañía se deslindó del incidente sugiriendo que las grabaciones fueron almacenadas por la audiencia, no debemos olvidar que la privacidad es un tema que las desarrolladoras tecnológicas tienen que priorizar desde el diseño de sus productos pues poseen una responsabilidad real en cuanto al tratamiento de la información de sus usuarios.

La incertidumbre generada en torno a la fragilidad en la protección de datos personales de los usuarios de Zoom desató un escándalo que llevó hasta a una demanda en una corte de San Jose, California; el demandante, Robert Cullen, acusa a la marca de revelar ilegalmente, información personal de la gente a socios como Facebook y de no explicar adecuadamente al público que sus datos pueden llegar a agentes externos.

Después de dar a conocer las vulnerabilidades en materia de protección de datos de Zoom, su imagen se vio muy dañada y la empresa perdió - entre el uno y el dos de abril de este año- 4,290 millones de dólares de su valor de mercado.

Los riesgos de privacidad de la aplicación no quedan ahí, en junio pasado, la última noticia al respecto viene de los laboratorios de Talos (división de ciberseguridad de Cisco), donde se encontraron dos nuevas vulnerabilidades que, de ser explotadas, permitirían a un potencial atacante ejecutar un código arbitrario en la aplicación cliente del servicio y/o copiar ficheros en el sistema atacado, comprometiendo así la seguridad de los usuarios.

Si bien a la fecha, todas las vulnerabilidades detectadas han sido corregidas en su última versión, el uso masivo de esta herramienta parece estar convirtiéndose en una bomba de tiempo; el sitio especializado estadounidense BleepingComputer 6 informó que numerosas cuentas de usuarios fueron puestas en venta u ofrecidas gratuitamente en foros de la Dark Web, tan es así que la empresa de ciberseguridad Cyble pudo comprar unas 530,000 cuentas de Zoom por unos 0.0020 dólares cada una.

Tras el escándalo mediático, la plataforma se disculpó, anunció nuevas medidas de seguridad e informó que ha recurrido a otras empresas para detectar intentos de pirateo y para encontrar los datos robados en el mercado negro; también modificó algunos rubros de su declaración de privacidad para clarificar el tratamiento de los datos personales, ahora a la letra dice: “Esta Declaración se aplica a los datos personales que tratamos como controlador de datos, es decir, como la parte que determina qué datos se deben recoger y por qué. Usted proporciona algunos de estos datos directamente, y nosotros obtenemos algunos de ellos mediante la recogida de datos de sus interacciones, usos y experiencias con los Servicios. Los datos que recogemos dependen del contexto de sus interacciones con Zoom y de las decisiones que tome, incluidos los productos y las funciones que utilice. También obtenemos datos sobre usted de terceros.”

En cuanto a derechos y opciones de privacidad, la aplicación permite a los usuarios en general, la corrección o actualización de su información con la posibilidad de recibir, previo consentimiento, comunicaciones de marketing por correo electrónico. Es importante destacar que la declaración de privacidad tiene un apartado específico para los usuarios de la Unión Europea que armoniza su política con el Reglamento General de Protección de Datos Personales; en este apartado faculta a los usuarios de dicha región geográfica para ejercer todos los derechos en materia de protección de datos previstos por este ordenamiento jurídico, lo que claramente demuestra un trato diferenciado que pudiera conducir a discriminación para los usuarios del resto del mundo.

Lo que aprendemos de casos emblemáticos como éste es que, en el contexto mundial de hoy, el uso de los datos personales ya no puede ser contenido ni regulado de manera aislada dentro de un único país, por el contrario, requiere un ecosistema que permita que los gobiernos, negocios y, sobre todo, las personas se beneficien de la revolución de los datos sin limitar la innovación y los flujos de datos.

Más allá de hacer una exposición descriptiva del caso, del escándalo mediático que desató y de cómo se han controlado los riesgos, la pregunta obligada es ¿ante la posible transgresión del derecho a la protección de datos personales, funcionan los mecanismos de prevención, regulación y solución?

El sentido de esta reflexión no gira en torno a precisar si el derecho a la protección de datos personales -como una construcción teórica- se incorpora en las legislaciones de los Estados, sino más bien en conocer, mediante evidencias, si en un contexto global, el tratamiento de datos personales es adecuado y se realiza en apego a principios y normas que permitan que los responsables y encargados estén en aptitud de acreditar su uso seguro y al mismo tiempo posibiliten que las autoridades fiscalicen el cumplimiento de la normativa y hagan factible sancionar las infracciones, cumpliendo con proteger la dignidad de las personas en toda su extensión, es decir, que las herramientas jurídicas, diplomáticas, culturales y de cualquier otro ámbito demuestren su eficacia, flexibilidad y adaptabilidad a un entorno disruptivo e incierto en donde el respeto al ser humano está en riesgo.

Si esto no sucede, existe el peligro de irnos al extremo contrario y caer en una sobrerregulación que afecte las actividades económicas y complique el desempeño de las instituciones públicas establecidas para garantizar el ejercicio de los derechos fundamentales de los ciudadanos.

Conclusión

Indiscutiblemente, el tratamiento, la recolección y el almacenamiento de información que antes solo formaban parte de la vida íntima de cada ser humano se han transformado y su ámbito de protección se ha ido redireccionando. La obvia e inmaterial pérdida de autonomía individual que debilita el control de las personas sobre sus propios datos personales (que ha pasado de la facultad del individuo a rechazar invasiones a su ámbito privado al reconocimiento de un derecho de control y acceso de su información), va más allá de que el uso y control sobre sus datos le sea reconocido; ese derecho exige hoy ser protegido y garantizado a través de mecanismos idóneos y eficaces sea cual fuere el entorno en el que estos datos personales se almacenen, circulen o sean utilizados.

Probablemente en ningún momento de la historia reciente del ser humano lo concerniente a los datos personales y su protección haya cobrado tanta importancia; la pandemia por COVID-19 nos colocó en un momento coyuntural en el que la tecnología se constituyó en aliada y al mismo tiempo en amenaza para nuestro derecho a la privacidad. El relato del caso Zoom es un claro ejemplo de ello; en cuestión de días la plataforma obtuvo la información personal de miles de personas que no tuvieron reparo en otorgar su consentimiento para el tratamiento y transferencia de sus datos personales y hoy probablemente esos datos podrían ser utilizados en detrimento de su honor e intimidad personal y familiar.

En este orden de ideas, hablar de la protección de datos personales no sólo es hablar de respeto a normas jurídicas que se imponen como obligaciones para quienes están en posesión de dichos datos, implica en su acepción más amplia, un orden estricto de valoración y principios éticos de quienes recogen, usan, manejan, tratan, transmiten o ceden datos personales, pues lo cierto es que aún hoy con los avances en materia de regulación, las afectaciones y violaciones a los derechos humanos se siguen replicando e intensificando.

Es innegable que el objetivo principal de cada uno de los intermediarios que posibilitan la vida en línea no es necesariamente apoyar el ejercicio de los derechos humanos sino más bien generar beneficios económicos, de manera que el impacto sobre los derechos humanos queda, de una u otra forma, en manos de agentes con intereses distintos a los de la protección de las personas. Tomando esto en cuenta, una regulación idónea de privacidad de datos debe incentivar las buenas prácticas en primera instancia y, en caso de transgresión, brindar mecanismos eficaces de resarcimiento genuino y proporcionado para los individuos que hayan sufrido un daño; a la par, las personas deben contar con la información y las herramientas necesarias para tomar decisiones conscientes respecto de cómo se pueden utilizar sus datos y el intercambio de valor del que participan.

Las oportunidades que ofrece la sociedad digital y las tecnologías impulsadas por los datos son, sin duda, significativas, pero solamente podrán materializarse si los titulares confían en el ecosistema conformado por personas, gobiernos, organizaciones y tecnología; las leyes y regulaciones deben proporcionarles una protección genuina y eficaz a las personas y, al mismo tiempo, deben darles a las organizaciones públicas y privadas la libertad de operar, innovar y cumplir con el marco regulatorio de una manera razonable y transparente. Sin este equilibrio dotado de mecanismos robustos de aplicación, las medidas para proteger el derecho a la intimidad, privacidad y protección de datos de los individuos podrían ser demasiado prescriptivas, rígidas y quedar obsoletas rápidamente.

Los mecanismos eficaces serán aquellos que contemplen una adecuada difusión, publicidad, asistencia, fiscalización y sanción, además claro, de la implementación de políticas públicas coherentes con un Estado democrático que promueva condiciones que garanticen el pleno desarrollo de las personas.

Notas

1 - Zoom fue fundada por Eric Yuan, ex vicepresidente de Cisco Webex; inició servicios en enero de 2013.

2 - Por defecto, Zoom no ponía contraseña en las nuevas salas creadas y utilizaba códigos numéricos fáciles de descifrar mediante algoritmos; era posible crear un enlace dentro del chat de Zoom que al ser pulsado por otro usuario permitía acceder a las credenciales de acceso con miles de spammers y hackers entrando en salas aleatorias y atacando a sus usuarios.

3 - Extrañamente, la política de privacidad de Zoom para Android sí hacía referencia a Google; mencionaba

"Nuestros proveedores de servicios externos y socios publicitarios (por ejemplo, Google Ads y Google Analytics) recopilan automáticamente cierta información sobre usted cuando utiliza nuestros productos".

4 - Los investigadores de IngSights descubrieron un conjunto de 2,300 credenciales de inicio de sesión de Zoom compartiéndose en un foro criminal en línea.

5 - “Thousands of Zoom video calls left exposed on open Web”, The Wahsington Post, 03 de abril de 2020.

6 - https://www.bleepingcomputer.com/news/security/over-500-000-zoom-accounts-sold-on-hacker-forums-the- dark-web/

Referencias

Accessnow. (Enero de 2018). La creación de un marco para la protección de datos: una guía para los legisladores sobre qué hacer y qué no. Recuperado el 30 de Julio de 2020, de https://www.accessnow.org/cms/assets/uploads/2018/04/manual-de-proteccion-de-datos.pdf

Cohen, S. (19 de Abril de 2020). Una demanda colectiva sobre Zoom afirma violaciones de la privacidad. Recuperado el 31 de Julio de 2020, de https://topclassactions.com/lawsuit- settlements/class-action-news/963823-demanda-colectiva-zoom-afirma-violaciones-privacidad/

El Economista. (16 de Abril de 2020). Zoom refuerza su seguridad tras nuevo escándalo de fuga de datos personales. Recuperado el 01 de Agosto de 2020, de https://www.eleconomista.com.mx/tecnologia/Zoom-refuerza-su-seguridad-tras-nuevo- escandalo-de-fuga-de-datos-personales-20200416-0100.html

Harwell, D. (03 de Abril de 2020). Thousands of Zoom video calls left exposed on open Web. Recuperado el 02 de Agosto de 2020, de https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left- exposed-open-web/

INFOBAE. (12 de Junio de 2020). Crece el escándalo: Zoom admitió que cerró cuentas de activistas pro democracia por orden del régimen chino y que lo seguirá haciendo. Recuperado el 01 de Agosto de 2020, de https://www.infobae.com/america/tecno/2020/06/12/crece-el-escandalo- zoom-admitio-que-cerro-cuentas-de-activistas-pro-democracia-por-orden-del-regimen-chino-y- que-lo-seguira-haciendo/

La Nación. (03 de Abril de 2020). Más problemas en Zoom: miles de videollamadas grabadas quedaron expuestas en Internet. Recuperado el 02 de Agosto de 2020, de https://www.lanacion.com.ar/tecnologia/mas-problemas-zoom-miles-videollamadas-grabadas- quedaron-nid2350619

Perez, E. (09 de Abril de 2020). Zoom añade nuevas herramientas de seguridad para intentar frenar las numerosas dudas respecto a su privacidad. Recuperado el 31 de Julio de 2020, de https://www.xataka.com/aplicaciones/zoom-anade-nuevas-herramientas-seguridad-para- intentar-frenar-numerosas-dudas-respecto-a-su-privacidad

UNOTV.COM. (17 de Abril de 2020). App de videoconferencia refuerza seguridad tras escándalo de fuga de datos. México. Recuperado el 31 de Julio de 2020, de https://www.unotv.com/noticias/portal/tecnologia/detalle/escandalo-zoom-app-refuerza- seguridad-tras-problema-de-filtracion-de-datos-764802/

Vives, J. (03 de Abril de 2020). Los expertos alertan de los problemas de privacidad de Zoom. Barccelona, España. Recuperado el 31 de Julio de 2020, de https://www.lavanguardia.com/tecnologia/20200403/48281578055/expertos-alertan-problemas- privacidad-zoom.html

Foto de Iyus sugiharto en Unsplash

Oerre Abogados

Zoom: opaca política de privacidad, control de riesgos sobre la marcha.

¿Por qué es importante la regulación y protección de la privacidad, la vida privada y los datos personales?