Después de mi video anterior, ¿Es verdad que zoom es tan inseguro?, mucha gente me habéis preguntado cuánto os podéis fiar de zoom, de hecho me habéis hecho la pregunta que titula el video, y es que el video no responde a la pregunta.
Primero de todo voy a explicar eso, por qué el video no responde a la pregunta del título. La respuesta es sencilla: yo considero que esa pregunta está, con todas las comillas del mundo, «mal formulada». Muchas personas acuden a profesionales de las TIC buscando una receta para situaciones como esta. Y la realidad es que nosotros y nosotras podemos resolver un problema técnico, pero no otros problemas asociados. Siguiendo con zoom, la situación actual plantea, además del técnico, al menos un problema político y otro ético.
Lo que yo hago en el video es, a mi juicio, resolver el problema técnico: 1) nada es totalmente seguro; 2) si el código es auditable mejor; y 3) descubre quien presta un servicio y si es de fiar. A partir de aquí cada cual tenemos que decidir incorporando lo político, lo ético, y nuestras necesidades vitales. Es verdad que uso algo muy usado por las y los youtubers: presentar una pregunta gancho, para luego reenfocar el problema. Es verdad que esto puede ser paternalista, pero cuando se asume un rol divulgativo de alguna manera esto siempre está, porque ocupas un rol de persona experta, frente al de una audiencia profana. La carpeta del video en mi ordenador se llama «Tres mantras del software libre», con ese título probablemente el video hubiera tenido un cuarto de las visualizaciones que tiene, o menos. Lo divulgativo también implica encontrar el punto de interés, usarlo como partida y desde ahí hacer a la audiencia viajar.
Pero… ¿es seguro o no?
Ahora sí, al grano. La controversia a mi me llegó a través de un artículo de The Guardian (que para mi es una fuente fiable): Zoom is malware: why experts worry about the video conferencing platform? (Zoom es software malintencionado: ¿por qué personas expertas están preocupadas por la aplicación de videoconferencia?)
En un principio no leí el artículo completo, pero el hecho de que usara la palabra malware me hacía pensar que esto no era un agujero de seguridad, de lo cual, ninguna aplicación (ni siquiera las libres) están a salvo. Se trata de errores de programación, o situaciones no tenidas en cuenta, por la cual alguien puede ganar acceso a un equipo, atacarlo de alguna manera, u obtener información privada. Pero malware implica que la aplicación se programa intencionadamente con ese agujero.
Partiendo de que hemos superado el primer mantra, y que hemos decidido usar una aplicación de video, abordamos el segundo. Zoom no es una aplicación libre, ni la aplicación cliente ni el servidor. Con lo cual estamos totalmente en manos de la buena voluntad de la empresa que lo programa, lo que nos lleva al tercer mantra: ¿quién hay detrás?
Zoom es una empresa que cotiza en la bolsa de Nueva York. ¿Nos podemos fiar de ella? Aquí es donde el artículo realmente incide. Habla de personas expertas que catalogan zoom como un desastre de seguridad y fundamentalmente corrupto.
¿Por que? Lo primero que me encuentro es que el FBI investiga casos de «zoom bombing»: accesos a conferencias privadas, a menudo para verter amenazas racistas. Al parecer la empresa de seguridad Checkpoint (referente en el sector) ha encontrado que se pude acceder a las salas desde ciertas direcciones de internet. Esto a mi ya me hace dudar de zoom, porque si pueden acceder unas determinadas direcciones y otras no, huele bastante a puerta trasera intencionada (otra cosa es que las hayan descubierto terceras personas y las hayan usado, pero ¿por qué está ahí esa puerta trasera? ¿para que la usa zoom).
Segunda cuestión poco de fiar: zoom anunció que las conversaciones eran encriptadas extremo a extremo (para personas profanas, quedémonos con que esto garantizaría prácticamente que no interviene las conversaciones para espiar). Esto se descubrió como falso, y zoom tuvo que recular.
Por otro lado, en 2019 se descubrió que zoom instalaba software «a escondidas» en nuestro ordenador, que permitía añadir personas a llamadas sin permiso. También avisaba en la política de privacidad de que vendía tus datos a terceros para hacer publicidad dirigida (aquello de que hablas de gatos y después facebook te ofrece comida para gatos). Ante esta acusación, zoom cambió la política de privacidad y anunció que «nunca había vendido datos».
A esto se refieren las personas expertas: zoom tiene agujeros de seguridad, y su pasado hace sospechar que pueden ser intencionados, es decir, ser puertas traseras.
Quizás os habéis preguntado ¿si zoom no es libre, y no tenemos el código fuente, como se encuentran estos agujeros de seguridad? La mayoría de las veces se usa lo que se llaman técnicas de caja negra: como no podemos ver el interior, analizamos todo lo que entra y sale, y desde ahí deducimos hipótesis que luego comprobamos como ciertas.
Bueno, pues ya tenéis un ejemplo de aplicación de los mantras: si, zoom es inseguro, partiendo de que comunicarse por internet lo es, agravándose porque no podemos auditar qué hace exactamente (como muchas otras aplicaciones, como skype o hangouts). Pero es que además zoom ha demostrado no ser de fiar.
¿Debo dejar de usar zoom? Esto ya es algo que va más allá de lo técnico. Involucra mis necesidades y situación personal (cuánto me importa mi privacidad, si puedo no usar zoom o es una herramienta de trabajo impuesta, si cuento con una alternativa real, si tengo tiempo para probarlas); y también involucra lo político-ético (si quiero apoyar una empresa y un proyecto así). La vida y las personas estamos llenas de incoherencias. Yo uso youtube para mis videos, que es parte de Google, que fue una de las empresas de las que Snowden desveló que colaboraba con el gobierno de EEUU para espiar a la población. Supongo que entiendo que es un precio que merece pagar para llegar más gente. La vida esta llena de decisiones, toma las tuyas propias.