Miles de videollamadas de Zoom quedaron expuestas en internet

Por Drew Harwell

Compartir
Compartir articulo
Una familia participa en un juego online utilizando las aplicaciones Zoom y Kahoot, mientras continúa la propagación de la enfermedad coronavirus en Manchester, Reino Unido, el 1 de abril de 2020 (REUTERS/Phil Noble)
Una familia participa en un juego online utilizando las aplicaciones Zoom y Kahoot, mientras continúa la propagación de la enfermedad coronavirus en Manchester, Reino Unido, el 1 de abril de 2020 (REUTERS/Phil Noble)

Miles de videos personales de Zoom han quedado visibles en la web abierta, lo que pone de relieve los riesgos de privacidad de millones de personas al trasladar muchas de sus interacciones personales a las videollamadas en una época de distanciamiento social.

Muchos de los videos parecen haber sido grabados a través del software de Zoom y guardados en el espacio de almacenamiento online sin una contraseña. Pero debido a que Zoom nombra cada grabación de video de manera idéntica, una simple búsqueda en línea puede revelar un largo flujo de videos que cualquiera puede descargar y ver.

Los videos de Zoom no se graban por default, aunque los anfitriones de las llamadas pueden elegir guardarlos en los servidores de Zoom o en sus propios ordenadores. No hay ninguna indicación de que los videos transmitidos en directo o los videos guardados en los servidores de Zoom sean visibles públicamente.

Sin embargo, muchos participantes en las llamadas de Zoom pueden sorprenderse al ver que sus rostros, voces e información personal se exponen porque un anfitrión de la llamada puede grabar una llamada de un grupo grande sin el consentimiento de los participantes. El Washington Post no revela la convención de nombres que Zoom utiliza, y Zoom fue alertado sobre el tema antes de que esta historia fuera publicada.

El descubrimiento de que los videos están disponibles en la web abierta se suma a una serie de preocupaciones sobre la privacidad de Zoom que han llegado a la atención pública a medida que el servicio se convirtió en la alternativa preferida para el trabajo, la escuela y la vida social de las poblaciones en cuarentena.

La empresa llegó a más de 200 millones de usuarios diarios el mes pasado, frente a los 10 millones de diciembre, ya que la gente encendió sus cámaras para las bodas, los funerales y los happy hours de Zoom en un momento en que se desaconsejan o prohíben las reuniones cara a cara.

Zoom dijo en un comunicado que "proporciona una forma segura para que los anfitriones almacenen las grabaciones" y ofrece guías sobre cómo los usuarios pueden mejorar la seguridad de sus llamadas. "En caso de que los anfitriones decidan más tarde cargar las grabaciones de sus reuniones en cualquier otro lugar, les instamos a que tengan extrema precaución y sean transparentes con los participantes de la reunión, considerando cuidadosamente si la reunión contiene información delicada y las expectativas razonables de los participantes", dice la declaración.

Los videos vistos por The Washington Post incluyeron sesiones de terapia individual; una orientación de capacitación para los trabajadores que realizan llamadas de telesalud, que incluía los nombres y números de teléfono de personas; reuniones de pequeñas empresas, que incluían estados financieros de empresas privadas; y clases de escuela primaria, en las que se expusieron los rostros, las voces y los detalles personales de los niños.

Muchos de los videos incluyen información de identificación personal y conversaciones profundamente íntimas, grabadas en los hogares de las personas. Otros videos incluyen desnudos, como uno en el que una esteticista enseña a los estudiantes cómo dar una depilación brasileña.

Un estudiante toma clases en línea en su casa, con sus compañeros, usando Zoom durante el brote de la enfermedad coronavirus (COVID-19) en El Masnou, al norte de Barcelona, España, el 2 de abril de 2020. REUTERS/Albert Gea
Un estudiante toma clases en línea en su casa, con sus compañeros, usando Zoom durante el brote de la enfermedad coronavirus (COVID-19) en El Masnou, al norte de Barcelona, España, el 2 de abril de 2020. REUTERS/Albert Gea

Cinco personas identificadas en los videos y entrevistadas por The Post dijeron que no tenían ni idea de cómo el material llegó a Internet.

“Eso definitivamente no debería estar sucediendo”, dijo Jack Crann, el dueño de la compañía de entrenamiento canino de Connecticut Peace of Mind Canine, después de que un reportero del Post le alertó sobre un video que incluía detalles financieros privados. “Esa fue una reunión para nosotros, y no debería ser publicada.”

Patrick Jackson, el jefe de tecnología de la empresa de software privado Disconnect y ex investigador de la Agencia de Seguridad Nacional de EEUU (NSA), que alertó al Post sobre los datos expuestos, dijo que Zoom podría hacer un mejor trabajo al advertir a la gente que proteja sus videos. Zoom también podría ayudar implementando ajustes en el diseño, como nombrar los videos de manera impredecible para que sean más difíciles de encontrar.

Jackson encontró los videos usando un motor de búsqueda gratuito en línea que escanea a través del espacio de almacenamiento en nube abierto en línea. Una búsqueda de grabaciones, usando la convención de nomenclatura por defecto de Zoom, reveló más de 15.000 resultados.

"Esto era algo que no me sentía bien viendo, y dudo que toda la gente de aquí sepa que estos videos son públicos", dijo Jackson.

Muchos de los videos se pueden encontrar en trozos desprotegidos de espacio de almacenamiento de Amazon, conocidos como cubos, que se utilizan ampliamente en la web. Los cubos de Amazon están bloqueados por defecto, pero muchos usuarios hacen que el espacio de almacenamiento sea accesible al público, ya sea por inadvertencia o para compartir archivos con otras personas. (El director general de Amazon, Jeff Bezos, es el propietario de The Washington Post).

Miles de otros clips de Zoom, todos ellos nombrados de la misma manera, han sido subidos a los sitios de video de YouTube y Vimeo. En un clip publicado el miércoles, se puede ver a una clase de estudiantes de segundo grado aprendiendo sobre el dinero mientras se conecta desde casa.

El problema no es exclusivo de los videos de Zoom o del almacenamiento de Amazon. Pero en el diseño de su servicio, los ingenieros de Zoom pasaron por alto algunas características de seguridad comunes de otros programas de video-chat, como la exigencia de que la gente utilice un nombre de archivo único antes de guardar sus propios clips. Ese estilo de simplicidad operativa ha hecho que Zoom se convierta en la aplicación de video-chat más popular en los Estados Unidos, pero también ha frustrado a algunos investigadores de seguridad que creen que tales atajos pueden dejar a los usuarios más vulnerables a los hackeos o al abuso.

El director ejecutivo de Zoom, Eric Yuan, reconoció en una entrada del blog el miércoles por la noche que el servicio de su compañía está siendo utilizado mucho más ampliamente de lo que había contemplado cuando fundó la empresa en 2011. “No diseñamos el producto con la previsión de que, en cuestión de semanas, todas las personas del mundo estarían de repente trabajando, estudiando y socializando desde casa”, escribió. La nueva base de usuarios del sistema, dijo, estaba usando Zoom de varias “formas inesperadas, presentándonos desafíos que no anticipamos cuando se concibió la plataforma”.

Yuan también se disculpó por el hecho de que Zoom no cumpliera con las "expectativas de privacidad y seguridad" de los usuarios, y dijo que la compañía congelaría las nuevas características durante 90 días y redirigiría a sus ingenieros a abordar los fallos de seguridad.

Zoom es una de las apps más descargadas debido a las cuarentenas por el coronavirus COVID-19 (REUTERS/Dado Ruvic/Illustration)
Zoom es una de las apps más descargadas debido a las cuarentenas por el coronavirus COVID-19 (REUTERS/Dado Ruvic/Illustration)

Los videos podrían ser una sorpresa para las personas que esperaban que sus discusiones sensibles se mantuvieran en privado. Pero también podrían poner a la gente en un verdadero riesgo personal.

Ruth Schwartz, directora de Conscious Girlfriend, un grupo de apoyo a las relaciones para mujeres lesbianas y homosexuales, dijo que le alarmaba saber que los videos de sus sesiones de grupo podían verse en línea, incluyendo uno en el que las mujeres hablaban sobre cómo se recuperaban de relaciones tóxicas.

Schwartz dijo que volvió a proteger los videos de Zoom y dijo que le preocupaban los grupos como el suyo, en los que algunas mujeres no han compartido públicamente su orientación sexual.

“Es una llamada de atención muy importante”, dijo. “La conexión social es uno de los mayores predictores de la salud mental y física... Es tan importante para todos los que hacemos este tipo de trabajo sensible tomar las precauciones para proteger nuestras comunidades.”

*Drew Harwell es un reportero de tecnología del Washington Post especializado en inteligencia artificial y los algoritmos que cambian la vida de la sociedad. Se unió a The Post en 2014 y ha escrito sobre los negocios estadounidenses y las compañías de Trump.

MÁS SOBRE ESTE TEMA: