Zoom
Si se ha metido en los plazos de Twitter para los defensores de la seguridad y la privacidad en los últimos cinco días, sin duda ha visto a Zoom criticado por sus planes para permitir videoconferencias cifradas de extremo a extremo únicamente para clientes que pagan. Los millones de usuarios que no pagan de Zoom no recibirán la protección para que la compañía pueda monitorear las reuniones en busca de actividades de abuso infantil y otros tipos de contenido ilegal e inquietante, dijeron los ejecutivos.
“Oh, vete a la mierda, @zoom_us. No te importa nada excepto el dinero”, un crítico escribió en Twitter el martes, cinco días después de que Reuters informara sobre los planes. “Ciertamente no te importa proteger a la gente de la extralimitación abusiva de la policía. Después de todo, ¿no acaba de decir que los clientes que no pagan no se beneficiarán del cifrado porque quiere trabajar con las fuerzas del orden?
El movimiento es ciertamente una desviación de algunas plataformas que ya ofrecen cifrado de extremo a extremo. Signal, Facebook Messenger y WhatsApp ofrecen protección a todos los usuarios, aunque pocos o ninguno pagan por los servicios. Pocos servicios de videoconferencia ofrecen cifrado de extremo a extremo. Al igual que Zoom, sus competidores que ofrecen criptografía de extremo a extremo generalmente lo hacen solo para usuarios seleccionados.
Imposible de descifrar
El cifrado de extremo a extremo es muy diferente del simple cifrado de datos en tránsito. En su lugar, proporciona a cada usuario claves que residen únicamente en sus dispositivos, donde las comunicaciones se cifran y luego se descifran (los datos cifrados generalmente se cifran una segunda vez mientras viajan por el cable). Dado que el proveedor no tiene acceso a las claves que descifran los datos, es imposible que las fuerzas del orden o los malintencionados accedan al contenido legible por humanos.
Los defensores de la seguridad y la privacidad dicen que este tipo de protección es crucial a medida que se transmite cada vez más información confidencial a través de Internet. Grupos como Electronic Frontier Foundation argumentan que el cifrado de extremo a extremo debe estar disponible para todos los usuarios, ya sea que paguen o no. Zoom aún no ha implementado el cifrado de extremo a extremo, pero los representantes han dicho que los ingenieros de la compañía están en proceso de diseñarlo e implementarlo.
Este artículo no argumenta que los planes de Zoom articulados hasta ahora estén bien. Más bien, proporciona un contrapunto a las críticas de que los planes están motivados por la codicia o el deseo de complacer a las fuerzas del orden. Sin duda, es probable que algunos críticos de Zoom afirmen que este contrapunto huele a la misma tontería de «pensar en los niños» que los enemigos del cifrado fuerte plantean todo el tiempo.
Otros argumentan que los atributos únicos de las videoconferencias y otras plataformas de video en tiempo real justifican que las personas sopesen y, en última instancia, equilibren los pros y los contras del cifrado de extremo a extremo para todos los usuarios.
Un aspecto de la videoconferencia es que es una plataforma para espectáculos de sexo infantil en vivo y otras actividades muy perturbadoras. Un ejemplo del papel que a veces desempeñan las videoconferencias en este tipo de delitos se encuentra en un caso penal iniciado por los fiscales federales en 2023. Se acusó a un hombre de distribución de pornografía infantil por presuntamente participar en videoconferencias en la plataforma de video de Yahoo.
En total, dijeron los fiscales, cientos de usuarios de Yahoo estaban involucrados en un esquema que transmitía horribles abusos infantiles en tiempo real. Según la jurisprudencia establecida, los fiscales no podrían haber presentado cargos a menos que un empleado de Yahoo pudiera monitorear las transmisiones, presenciar personalmente el abuso y describirlo en un testimonio bajo juramento.
Una persona familiarizada con los planes de Zoom dijo que este tipo de programas de sexo en vivo que involucran a niños son más comunes en los servicios de video de lo que la mayoría de la gente cree. Casi todos los participantes usan cuentas gratuitas que están registradas de manera que sus identidades sean más difíciles, si no imposibles, de rastrear. Pocos, si es que alguno, los usuarios que pagan se involucran en actividades ilegales.
Actualmente, cuando Zoom se entera de una actividad ilegal, puede acceder a las cuentas de los supuestos participantes y monitorear cualquiera de sus feeds para verificar los informes de abuso. Si la empresa implementa correctamente el cifrado de extremo a extremo, este tipo de monitoreo será imposible.
Dado que casi todo el abuso se transmite en reuniones de usuarios no registrados con cuentas gratuitas, Zoom decidió que el equilibrio razonable entre seguridad y protección era implementar el cifrado de extremo a extremo solo para los clientes que pagan. Zoom dice que entrega los datos de los clientes solo cuando se les presenta una orden judicial legalmente vinculante.
Preocupaciones legítimas
Al igual que el usuario de Twitter citado anteriormente en esta publicación, los críticos dicen que Zoom está cediendo a las quejas exageradas de las fuerzas del orden de «oscurecerse», lo que significa que no proporciona ninguna forma de obtener inteligencia sobre delitos reales debido al cifrado. El contrapunto se puede encontrar en un miércoles Hilo de Twitter de Alex Stamos, un consultor de seguridad de Zoom que tiene un historial de defensa del cifrado sólido contra las autoridades y resistencia a las búsquedas injustificadas de datos de usuarios. Citó las limitaciones técnicas cuando los participantes de la reunión se conectan por teléfono o H.323 y equipo SIP y el equilibrio de la privacidad y la seguridad de los demás para que Zoom no haga que el cifrado de extremo a extremo esté disponible para todos.
“Existen razones legítimas de productos para hacer de E2EE una función opcional”, escribió. “Tales razones existían para Facebook Messenger (en el que FB está trabajando) y existen ahora para Zoom. En ambos casos, creo que E2EE opcional además del cifrado de transporte es mejor que ninguna opción E2EE. Pero el otro problema con el que tenemos que lidiar es cómo los productos pueden causar daño fuera de la vigilancia”.
Pero el otro problema con el que tenemos que lidiar es cómo los productos pueden causar daño fuera de la vigilancia. Como puede ver en el horario de clases anterior, hay muchos otros daños. Zoom está lidiando con un par de estos intensamente en este momento.
— Alex Stamos (@alexstamos) 3 de junio de 2023
Otro defensor de Zoom es Nicholas Weaver, investigador del Instituto InterMarketingdecontenido de Ciencias de la Computación de UC Berkeley y profesor de la universidad. El jueves, desafió a un crítico en Twitter diciendo que el servicio de videoconferencia necesitaba con razón una forma de autenticar a los usuarios (actualmente, los usuarios gratuitos no necesitan una cuenta). «Sin él, argumentó, el cifrado de extremo a extremo proporcionaría poca protección significativa porque no habría forma de saber si el usuario del otro lado era realmente la persona que decía ser.
«Los registros de facturación son importantes», dijo. escribió. «$15/mes está estableciendo un rastro de papel y fricción. Me siento muy cómodo con esta decisión, especialmente porque un extremo a extremo adecuado requiere una infraestructura de autenticación significativa que no es necesaria en el modelo de seguridad actual.
«En este mundo, el acceso financiero es probablemente el dispositivo independiente más confiable disponible», dijo. adicional. «PUEDE tener tarjetas de crédito desechables (tarjetas de regalo), pero deben distinguirse en función de una lista de prefijos».
Jon Callas, experto en criptografía y miembro senior de tecnología de la ACLU, también describió los planes de Zoom como un compromiso razonable.
En este momento, pocas plataformas de videoconferencia ofrecen un verdadero cifrado de extremo a extremo, y las que lo ofrecen lo hacen solo para grupos selectos de usuarios. (Google Duo es una excepción, pero limita las llamadas grupales a 32 participantes, muy por debajo de lo que permite Zoom). Además, Gmail, los servicios de Facebook que no sean WhatsApp y Messenger, y cientos de otros servicios en línea ampliamente utilizados tampoco brindan acceso final. -Cifrado de extremo a extremo para sus servicios que no son de video. No está claro por qué Zoom está siendo seleccionado para una práctica en toda la industria.
Sin duda, la empresa tiene trabajo que hacer. Zoom aún no ha seguido el ejemplo de Google, Facebook y otras empresas en la publicación de informes de transparencia que detallan las órdenes policiales que reciben por los datos de los usuarios (el director ejecutivo promete el primero a principios de julio). Hasta que lo haga, los usuarios tienen un fuerte motivo para ser cautelosos. Puede haber otras formas de equilibrar la privacidad y la seguridad además de negar criptografía de extremo a extremo a todos los clientes que no pagan. Pero si Zoom implementa correctamente su protección de extremo a extremo, será uno de los pocos servicios de conferencias que lo haga para cualquiera de sus usuarios. Restringir su uso a algunos usuarios es una forma mucho mejor de dar cabida a la seguridad que construir los tipos de puertas traseras que exigen las autoridades.
