{"id":25641,"date":"2021-07-15T15:59:13","date_gmt":"2021-07-15T13:59:13","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25641"},"modified":"2021-07-15T15:59:13","modified_gmt":"2021-07-15T13:59:13","slug":"rsa2021-zoom-end-to-end-encryption","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/rsa2021-zoom-end-to-end-encryption\/25641\/","title":{"rendered":"El cifrado de extremo a extremo llega a Zoom"},"content":{"rendered":"<p>La presentaci\u00f3n de Zoom en la <a href=\"https:\/\/www.kaspersky.es\/blog\/tag\/rsac\/\" target=\"_blank\" rel=\"noopener\">conferencia RSA 2021<\/a> se centr\u00f3 en el cifrado de extremo a extremo para las reuniones en Zoom Cloud. La empresa explic\u00f3 por qu\u00e9 sus desarrolladores est\u00e1n centrados en este tema, c\u00f3mo tienen pensado aumentar la seguridad de las llamadas y qu\u00e9 otras funciones de seguridad pueden esperar los usuarios.<\/p>\n<h2>Un poco de historia<\/h2>\n<p>Con motivo de la pandemia, muchos tuvimos que implementar el teletrabajo a largo plazo y comunicarnos con los compa\u00f1eros y seres queridos mediante <em>software<\/em> de teleconferencias. La amplia popularidad de Zoom llam\u00f3 la atenci\u00f3n tanto de los expertos en seguridad como de los ciberdelincuentes, que no tardaron en descubrir los errores de seguridad de la plataforma. Por ejemplo, se encontraron vulnerabilidades en el <em>software<\/em> que permit\u00edan a los atacantes <a href=\"https:\/\/threatpost.com\/two-zoom-zero-day-flaws-uncovered\/154337\/\" target=\"_blank\" rel=\"noopener nofollow\">espiar a los usuarios mediante sus c\u00e1maras y micr\u00f3fonos<\/a>, incluso los asaltos de los <em>trolls<\/em> <em>online<\/em> recibieron su propio nombre: <a href=\"https:\/\/es.wikipedia.org\/wiki\/Zoombombing\" target=\"_blank\" rel=\"noopener nofollow\">Zoombombing<\/a>. La respuesta de Zoom fue r\u00e1pida y de gran alcance, pero los problemas persist\u00edan.<\/p>\n<p>Una de las quejas principales sobre Zoom era que la plataforma <a href=\"https:\/\/www.theverge.com\/2020\/3\/31\/21201234\/zoom-end-to-end-encryption-video-chats-meetings\" target=\"_blank\" rel=\"noopener nofollow\">utilizaba<\/a> el cifrado de punto a punto (P2PE) en lugar del cifrado de extremo a extremo (E2EE).<\/p>\n<h3>E2EE vs. P2PE<\/h3>\n<p>A simple vista, los dos sistemas parecen similares: ambos cifran los datos que los usuarios intercambian, pero con el P2PE, el servidor puede acceder a los mensajes de los usuarios, mientras que el E2EE cifra la informaci\u00f3n en el dispositivo del remitente y solo la descifra del lado del destinatario. Este detalle en apariencia insignificante puede causar problemas, algo que los desarrolladores de Zoom resaltaron en la conferencia:<\/p>\n<ul>\n<li>Los ciberdelincuentes podr\u00edan violar el servidor, robar las claves de cifrado que almacena y unirse a reuniones suplantando a invitados reales o enviar mensajes falsos.<\/li>\n<li>Los empleados del proveedor del servicio en la nube o del mismo Zoom podr\u00edan obtener acceso a las claves y robar la informaci\u00f3n de los usuarios.<\/li>\n<\/ul>\n<p>Nadie quiere que sus conversaciones privadas con la familia o los amigos, y mucho menos las charlas de negocios secretas, se hagan p\u00fablicas. Es m\u00e1s, ser\u00eda extremadamente dif\u00edcil detectar si un ciberdelincuente utiliza las claves robadas solo como oyente pasivo.<\/p>\n<p>El E2EE <a href=\"https:\/\/www.kaspersky.es\/blog\/what-is-end-to-end-encryption\/23862\/\" target=\"_blank\" rel=\"noopener\">resuelve estos problemas<\/a> al almacenar las claves de descifrado en los dispositivos de los usuarios, y en ning\u00fan otro lado. Esto significa que <em>hackear<\/em> el servidor no permitir\u00eda que un intruso escuchara a escondidas una videoconferencia.<\/p>\n<p>En consecuencia, muchos ya esperaban que Zoom implementara el E2EE, que ya es <a href=\"https:\/\/www.kaspersky.es\/blog\/whatsapp-encryption\/8075\/\" target=\"_blank\" rel=\"noopener\">una funci\u00f3n predeterminada en las aplicaciones de mensajer\u00eda<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"vpn\">\n<h2>El cifrado de extremo a extremo en Zoom: La situaci\u00f3n actual<\/h2>\n<p>Los desarrolladores han escuchado las cr\u00edticas y tomado medidas para <a href=\"https:\/\/www.kaspersky.es\/blog\/zoom-5-security\/23025\/\" target=\"_blank\" rel=\"noopener\">mejorar la seguridad de la plataforma<\/a>, incluida la implementaci\u00f3n del E2EE.<\/p>\n<p><a href=\"https:\/\/blog.zoom.us\/zoom-rolling-out-end-to-end-encryption-offering\/\" target=\"_blank\" rel=\"noopener nofollow\">Zoom lleva utilizando el E2EE<\/a> para las llamadas de audio y v\u00eddeo, as\u00ed como para el chat, desde el oto\u00f1o del 2020. Cuando est\u00e1 habilitado, Zoom protege la informaci\u00f3n de los participantes con la llamada clave de cifrado de conferencias. Esta clave no se almacena en los servidores de Zoom, por lo que ni siquiera los desarrolladores pueden descifrar el contenido de las conversaciones. La plataforma almacena solo las ID de los usuarios en forma cifrada y algunos metadatos de la reuni\u00f3n como la duraci\u00f3n de la llamada.<\/p>\n<p>Como protecci\u00f3n contra las conexiones externas, los desarrolladores tambi\u00e9n introdujeron la funci\u00f3n Heartbeat, una alerta que el anfitri\u00f3n de la reuni\u00f3n env\u00eda de forma autom\u00e1tica a otros usuarios. Contiene, entre otras cosas, una lista de asistentes a quienes el anfitri\u00f3n de la reuni\u00f3n env\u00eda la clave de cifrado vigente. Si alguien que no est\u00e1 en la lista se une a la reuni\u00f3n, todos sabr\u00e1n de inmediato que algo no anda bien.<\/p>\n<p>Otra manera de mantener fuera a los participantes sin invitaci\u00f3n es bloquear la reuni\u00f3n (mediante la funci\u00f3n Bloquear reuni\u00f3n) una vez que se hayan reunido todos los invitados. Es necesario bloquear las reuniones de forma manual, pero una vez hecho, nadie m\u00e1s puede unirse, incluso aunque cuente con la ID y la contrase\u00f1a de la reuni\u00f3n.<\/p>\n<p>Zoom tambi\u00e9n ofrece protecci\u00f3n contra los <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/man-in-the-middle-attack\/\" target=\"_blank\" rel=\"noopener\">ataques de tipo <em>man-in-the-middle<\/em><\/a> con un reemplazo de la clave de cifrado. Para asegurarse de que un extra\u00f1o no est\u00e9 escuchando a escondidas, el anfitri\u00f3n de la reuni\u00f3n puede hacer clic en un bot\u00f3n en cualquier momento para generar un c\u00f3digo de seguridad basado en la clave actual de cifrado de la reuni\u00f3n. De la misma forma, se genera un c\u00f3digo para el resto de los participantes de la reuni\u00f3n de forma autom\u00e1tica. El anfitri\u00f3n solo debe leer el c\u00f3digo en voz alta; si coincide con el de los dem\u00e1s, todos est\u00e1n usando la misma clave y todo marcha bien.<\/p>\n<p>Por \u00faltimo, si el anfitri\u00f3n de la reuni\u00f3n sale y otro usuario toma su lugar, la aplicaci\u00f3n notifica de este cambio. Si esto le parece sospechoso al resto de los participantes, pueden suspender cualquier conversaci\u00f3n confidencial mientras se soluciona.<\/p>\n<p>Por supuesto, si solo est\u00e1s en una fiesta con tus amigos, probablemente no necesites utilizar todos estos mecanismos de seguridad. Pero si est\u00e1n en juego secretos comerciales o de cualquier otro tipo, estas herramientas de protecci\u00f3n resultan verdaderamente \u00fatiles, por lo que todos los participantes de reuniones importantes deben conocerlas y saber c\u00f3mo usarlas.<\/p>\n<p>A pesar de las innovaciones, los desarrolladores de Zoom admiten que todav\u00eda queda mucho por hacer. La charla en la RSA 2021 tambi\u00e9n arroj\u00f3 luz al porvenir de Zoom.<\/p>\n<h2>El futuro de Zoom<\/h2>\n<p>Los desarrolladores identificaron varias amenazas para las cuales a\u00fan deben implementar contraataques eficaces. Una de ellas es la infiltraci\u00f3n de personas que se hacen pasar por usuarios invitados a las reuniones. Otra es que la protecci\u00f3n del E2EE no evita que los atacantes conozcan ciertos metadatos, como la duraci\u00f3n de las llamadas, los nombres de los participantes y las direcciones IP.\u00a0 Tampoco podemos excluir las vulnerabilidades del programa de la lista de riesgos; en teor\u00eda, los ciberdelincuentes podr\u00edan incrustar c\u00f3digo malicioso en Zoom.<\/p>\n<p>Con estas amenazas en mente, los desarrolladores de Zoom <a href=\"https:\/\/github.com\/zoom\/zoom-e2e-whitepaper\/blob\/master\/archive\/zoom_e2e_v3.pdf\" target=\"_blank\" rel=\"noopener nofollow\">listaron los siguientes objetivos<\/a>:<\/p>\n<ul>\n<li>Garantizar que solo los participantes invitados y aprobados obtengan acceso a los eventos.<\/li>\n<li>Evitar que los participantes que sean expulsados de un evento puedan volver a conectarse.<\/li>\n<li>Evitar interferencias de cualquier persona no admitida a la reuni\u00f3n.<\/li>\n<li>Permitir que los asistentes de confianza puedan notificar de cualquier abuso al equipo de seguridad de Zoom.<\/li>\n<\/ul>\n<h3>Hoja de ruta<\/h3>\n<p>Para lograr estas metas, los desarrolladores crearon un hoja de ruta de cuatro etapas. <strong>La primera etapa <\/strong>ya ha sido implementada. Como ya hemos comentado, se ha cambiado el sistema para gestionar la clave de cifrado de conferencias de forma que se almacene solo en los dispositivos de los usuarios, as\u00ed como se han mejorado los medios para evitar que extra\u00f1os se unan a las reuniones.<\/p>\n<p>En la <strong>segunda etapa<\/strong>, planean introducir una autentificaci\u00f3n de usuarios que no dependa de los servidores de Zoom y que, en su lugar, se base en una <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/single-sign-on-sso\/\" target=\"_blank\" rel=\"noopener\">tecnolog\u00eda de inicio de sesi\u00f3n \u00fanico (SSO)<\/a> que involucre proveedores de identidad independientes (IDP).<\/p>\n<p>Como resultado, un posible intruso no podr\u00eda similar la identidad de un usuario, incluso aunque obtenga el control del servidor de Zoom. Si alguien se une a un evento haci\u00e9ndose pasar por un invitado, pero con una nueva clave p\u00fablica, los usuarios recibir\u00e1n una alerta de amenaza potencial.<\/p>\n<p>En la <strong>tercera<\/strong> <strong>etapa <\/strong>se introducir\u00e1 el concepto del <em>\u00e1rbol de transparencia<\/em>, que almacena todas las identidades en una estructura de datos autentificados y auditables para asegurar que todos los usuarios tengan una vista consistente de cualquier identidad y detecten ataques de suplantaci\u00f3n de identidad. La intenci\u00f3n de Zoom es fortalecer la protecci\u00f3n de la plataforma contra los ataques <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/man-in-the-middle-attack\/\" target=\"_blank\" rel=\"noopener\"><em>man-in-the-middle<\/em><\/a>.<\/p>\n<p>Al final, en la <strong>cuarta<\/strong> <strong>etapa<\/strong>, los desarrolladores planean facilitar la verificaci\u00f3n de identidad cuando un usuario se conecte desde un dispositivo nuevo. Para enlazar un dispositivo nuevo, el usuario deber\u00e1 confirmar su legitimidad, por ejemplo, al escanear un c\u00f3digo QR en la pantalla de un tel\u00e9fono u ordenador de confianza. Esto evitar\u00e1 que un atacante enlace un dispositivo a la cuenta de otro usuario.<\/p>\n<h3>Seguridad sin sacrificio<\/h3>\n<p>Al implementar mecanismos de seguridad adicionales, es importante considerar c\u00f3mo afectar\u00e1 esto a los usuarios ordinarios. Los desarrolladores de Zoom tambi\u00e9n est\u00e1n considerando este aspecto. Por ejemplo, una de las innovaciones propuestas es el uso de las nubes de dispositivos personales. Esta tecnolog\u00eda simplificar\u00e1 el proceso de agregar nuevos dispositivos a una cuenta, adem\u00e1s de ayudar a mantenerla segura.<\/p>\n<p>Por ejemplo, si normalmente utilizas un ordenador para las llamadas por Zoom, pero despu\u00e9s descargas e inicias sesi\u00f3n desde tu smartphone, la pr\u00f3xima vez que abras Zoom en tu ordenador, ver\u00e1s que se ha iniciado sesi\u00f3n en un nuevo dispositivo. Si lo apruebas, ambos dispositivos estar\u00e1n vinculados a una sola nube, y otros participantes de la reuni\u00f3n sabr\u00e1n que eres t\u00fa y no un impostor.<\/p>\n<p>Una nube de dispositivo tambi\u00e9n te permite verificar qu\u00e9 dispositivos est\u00e1n conectados a tu cuenta y revocar el estatus de confianza de cualquier otro equipo conectado. Adem\u00e1s de esto, los desarrolladores tienen pensando agregar una opci\u00f3n para pasar al E2EE en mitad de la reuni\u00f3n y <a href=\"https:\/\/github.com\/zoom\/zoom-e2e-whitepaper\" target=\"_blank\" rel=\"noopener nofollow\">muchas otras funciones \u00fatiles<\/a>.<\/p>\n<h2>\u00bfZoom ser\u00e1 m\u00e1s seguro?<\/h2>\n<p>A corto plazo, s\u00ed. La seguridad de Zoom contin\u00faa mejorando. La compa\u00f1\u00eda ya ha tomado varias medidas para protegerte contra las interferencias de los extra\u00f1os y tiene muchas m\u00e1s herramientas de protecci\u00f3n en desarrollo. Por otro lado, es agradable ver que Zoom est\u00e1 tratando de mezclar la seguridad con la facilidad de uso.<\/p>\n<p>Por supuesto, depende mucho de los usuarios de Zoom. Y, como con todo lo que es <em>online<\/em>, hacer videoconferencias requiere sentido com\u00fan y conocimiento de los mecanismos de protecci\u00f3n disponibles. Es importante acatar las advertencias de la plataforma y evitar las conversaciones confidenciales si algo parece sospechoso y no puedes descartar una filtraci\u00f3n de informaci\u00f3n.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksc-trial-generic\">\n","protected":false},"excerpt":{"rendered":"<p>C\u00f3mo est\u00e1 evolucionando la seguridad en Zoom, qu\u00e9 amenazas siguen vigentes y c\u00f3mo planean los desarrolladores eliminarlas.<\/p>\n","protected":false},"author":2581,"featured_media":25643,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1124,2019],"tags":[3133,260,220,3297,1225,61,3320,3081],"class_list":{"0":"post-25641","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"category-technology","9":"tag-cifrado-de-extremo-a-extremo","10":"tag-conferencia-rsa","11":"tag-privacidad","12":"tag-rsa2021","13":"tag-rsac","14":"tag-seguridad","15":"tag-videoconferencias","16":"tag-zoom"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/rsa2021-zoom-end-to-end-encryption\/25641\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/rsa2021-zoom-end-to-end-encryption\/23055\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/18537\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/9256\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/25012\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/rsa2021-zoom-end-to-end-encryption\/23020\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/22334\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/rsa2021-zoom-end-to-end-encryption\/25107\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/rsa2021-zoom-end-to-end-encryption\/31021\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/rsa2021-zoom-end-to-end-encryption\/9833\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/40562\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/rsa2021-zoom-end-to-end-encryption\/17318\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/rsa2021-zoom-end-to-end-encryption\/17791\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/rsa2021-zoom-end-to-end-encryption\/15048\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/rsa2021-zoom-end-to-end-encryption\/27064\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/rsa2021-zoom-end-to-end-encryption\/31219\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/rsa2021-zoom-end-to-end-encryption\/27291\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/rsa2021-zoom-end-to-end-encryption\/24097\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/rsa2021-zoom-end-to-end-encryption\/29432\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/rsa2021-zoom-end-to-end-encryption\/29224\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/rsac\/","name":"RSAC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25641","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=25641"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25641\/revisions"}],"predecessor-version":[{"id":25646,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25641\/revisions\/25646"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/25643"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=25641"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=25641"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=25641"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}