Search
List all posts
Everything
Hechos en torno a Zoom y el cifrado en reuniones y seminarios web
abril 1, 2020 by Oded Gal

A la vista del reciente interés en nuestras prácticas de cifrado, para empezar, queremos pedir disculpas por la confusión que hemos causado al dar a entender erróneamente que las reuniones de Zoom eran capaces de usar cifrado de extremo a extremo. Zoom siempre se ha esforzado por usar el cifrado para proteger los contenidos en el máximo número de situaciones posible y con ese ánimo hemos usado la expresión “cifrado de extremo a extremo”. Aunque nunca hemos tenido la intención de engañar a nuestros clientes, reconocemos que existe una discrepancia entre la definición comúnmente aceptada de “cifrado de extremo a extremo” y nuestro uso de ella. Este blog tiene el propósito de rectificar esa discrepancia y aclarar con exactitud nuestra forma de cifrar los contenidos que circulan por nuestra red.

El objetivo del diseño de nuestro cifrado consiste en proporcionar el mayor nivel posible de privacidad a la hora de satisfacer las diversas necesidades de nuestra base de clientes.

Para que quede claro, en una reunión en la que todos los participantes estén usando clientes de Zoom y la reunión no se esté grabando, todos los contenidos de vídeo, audio, pantallas compartidas y chats se cifran en el cliente emisor, y no se descifran en ningún punto antes de llegar a los clientes receptores.

Los clientes de Zoom incluyen:

  • Ordenadores portátiles o de sobremesa en los que se ejecute la aplicación de Zoom
  • Smartphones que usen la aplicación de Zoom
  • Las Zoom Room

En esta situación en la que todos los participantes usan la aplicación de Zoom, ningún contenido de los usuarios está disponible para los servidores o los empleados de Zoom en ningún momento del proceso de transmisión.

Zoom es compatible con una gran variedad de canales de comunicaciones, con el fin de ofrecer a nuestros usuarios un abanico de métodos de conexión lo más amplio posible. El método de cifrado de Zoom no puede aplicarse directamente a aquellos dispositivos que no utilicen de forma intrínseca el protocolo de comunicaciones de Zoom (como la línea telefónica convencional en lugar de la aplicación) o sistemas basados en salas SIP/H.323, cuando los usuarios los emplean para incorporarse a las reuniones de Zoom. Dicho esto, nuestro objetivo consiste en mantener los datos cifrados durante la mayor parte del proceso de transmisión que sea posible. Para lograrlo, hemos creado clientes especializados que convierten los contenidos entre nuestras reuniones cifradas y los sistemas heredados. Llamamos a estos clientes “conectores Zoom”, e incluyen:

  • Conector de telefonía de Zoom
  • Conector de sala de conferencias de Zoom
  • Skype para Business Connector
  • Conector de grabación en la nube
  • Conector de transmisión en vivo

 

Estos conectores son de hecho clientes de Zoom que operan en la nube de Zoom. Los contenidos permanecen cifrados para cada conector y, cuando sea posible, cifraremos los datos entre cada conector y el destino final (por ejemplo, un sistema de sala que no sea de Zoom).

Los conectores también se pueden invitar a la reunión a petición del anfitrión de la misma para ayudar en la prestación de servicios para la reunión. Como ejemplo, cabe citar el conector de transmisión en vivo, que actúa como cliente de Zoom capaz de convertir los contenidos de la reunión a un formato de transmisión en vivo, por ejemplo, para usarlos con otros servicios de difusión por web.

Creemos que aún es buena idea cifrar contenidos entre los clientes incluso en el caso en el que sean necesarios los conectores, ya que esto reduce el número de sistemas en Zoom con acceso a los contenidos del cliente y sirve como defensa en profundidad.

Para garantizar que este proceso se ajuste a las necesidades de nuestros clientes en todo momento y en cualquier parte del mundo, Zoom conserva actualmente el sistema de gestión de claves para estos sistemas en la nube. Por otro lado, Zoom ha implementado rigurosos controles internos validados para impedir el acceso no autorizado a los contenidos que los usuarios compartan durante las reuniones, incluido, entre otros, el contenido de vídeo, audio y chats de esas reuniones. Zoom no ha elaborado jamás ningún mecanismo para descifrar las reuniones en vivo a efectos de interceptación lícita ni tenemos manera de infiltrar en las reuniones a nuestros empleados o a terceros de forma que no queden reflejados en la lista de participantes.

 

Para aquellos que deseen un mayor control de sus claves, disponemos de una solución in situ para dar cobertura a toda la infraestructura de la reunión, y más adelante este mismo año habrá disponible una solución que permitirá a las organizaciones aprovechar la infraestructura en la nube de Zoom, pero con el sistema de gestión de claves alojado en su propio entorno. Además, los clientes empresariales que deseen gestionar por sí mismos los procesos de descifrado y conversión pueden ejecutar ciertas versiones de nuestros conectores en sus propios centros de datos.

Nos comprometemos a hacer todo lo que esté en nuestra mano por nuestros clientes en materia de seguridad y privacidad, y somos conscientes de la magnitud del momento. Estamos orgullosos de la labor realizada para proteger mediante cifrado los datos de los hospitales, universidades, colegios y otras organizaciones de todo el mundo que depositan su confianza en Zoom para permanecer conectados y operativos. Esperamos poder ofrecer en breve más información sobre nuestras prácticas en materia de seguridad.