Miles de videos personales de Zoom se han podido ver en la web abierta, hecho que destaca los riesgos de privacidad para millones de estadounidenses a medida que cambian muchas de sus interacciones personales a videollamadas en una era de distanciamiento social a raíz del Covid-19.
Muchos de los videos parecen haber sido grabados a través del software de Zoom y guardados en un espacio de almacenamiento en línea separado sin contraseña.
Pero debido a que Zoom nombra cada grabación de video de manera idéntica, una simple búsqueda en línea puede revelar una larga secuencia de videos que cualquiera puede descargar y ver.
Los videos de Zoom no se graban de manera predeterminada, aunque los anfitriones de las llamadas pueden elegir guardarlos en los servidores de Zoom o en sus propias computadoras. No hay indicios de que los videos transmitidos en vivo o los videos guardados en los servidores de Zoom sean visibles públicamente.
Pero muchos participantes en las llamadas de Zoom pueden sorprenderse al ver sus rostros, voces e información personal expuestos porque un anfitrión de la llamada puede grabar una llamada de grupo grande sin el consentimiento de los participantes. (Los participantes de la llamada reciben una notificación cuando un anfitrión comienza a grabar). El Washington Post no está revelando la convención de nombres que Zoom utiliza, y Zoom fue alertado sobre el tema antes de que esta historia fuera publicada.
El descubrimiento de que los videos están disponibles en la web abierta se suma a una serie de preocupaciones de privacidad de Zoom que han llamado la atención pública a medida que el servicio se convirtió en la alternativa preferida para el trabajo, la escuela y la vida social de los estadounidenses.
La compañía llegó a más de 200 millones de usuarios diarios el mes pasado, frente a los 10 millones de diciembre, cuando la gente encendió sus cámaras para bodas, funerales y horas felices de Zoom en un momento en que las reuniones cara a cara se desalientan o prohíben.
Zoom señaló que «proporciona una manera segura para que los anfitriones almacenen grabaciones» y proporciona guías sobre cómo los usuarios pueden mejorar la seguridad de sus llamadas.
«En caso de que los anfitriones luego elijan cargar sus grabaciones de la reunión en cualquier otro lugar, les instamos a que sean extremadamente cautelosos y sean transparentes con los participantes de la reunión, considerando cuidadosamente si la reunión contiene información confidencial y las expectativas razonables de los participantes», dijo en un comunicado.
Los videos vistos por The Post incluyeron sesiones de terapia individualizadas; una orientación de capacitación para trabajadores que realizan llamadas de telesalud, que incluía nombres y números de teléfono de personas; reuniones de pequeñas empresas, que incluían estados financieros de empresas privadas; y clases de primaria, en las que se exponían los rostros, las voces y los detalles personales de los niños.
Muchos de los videos incluyen información de identificación personal y conversaciones profundamente íntimas, grabadas en los hogares de las personas. Otros videos incluyen desnudos, como uno en el que un esteticista enseña a los estudiantes cómo dar una cera brasileña.
Cinco personas identificadas en los videos y entrevistadas por The Post dijeron que no tenían idea de cómo se filmaron las imágenes en línea.
«Eso definitivamente no debería estar sucediendo», dijo Jack Crann, el dueño de la compañía de entrenamiento canino Peace of Mind Canine de Connecticut, después de que un reportero del The Post lo alertó de un video que incluía detalles financieros privados. «Esa fue una reunión para nosotros, y no debe ser presentada al público».
Patrick Jackson, jefe de tecnología de la compañía de software de privacidad Disconnect y ex investigador de la Agencia de Seguridad Nacional, que alertó a The Post sobre los datos expuestos, dijo que Zoom podría hacer un mejor trabajo al advertir a las personas que protejan sus videos. Zoom también podría ayudar implementando ajustes de diseño, como nombrar videos de una manera impredecible para que sea más difícil encontrarlos.
Jackson encontró los videos utilizando un motor de búsqueda en línea gratuito que escanea el espacio de almacenamiento en la nube abierta en línea. Una búsqueda de grabaciones, usando la convención de nomenclatura predeterminada de Zoom, reveló más de 15 mil resultados.
«Esto fue algo que no me sentí bien viendo, y dudo que todas las personas aquí sepan que estos videos son públicos», dijo.
Muchos de los videos se pueden encontrar en fragmentos desprotegidos de espacio de almacenamiento de Amazon, conocidos como cubos, que se utilizan ampliamente en la Web. Los cubos de Amazon están bloqueados de forma predeterminada, pero muchos usuarios hacen que el espacio de almacenamiento sea de acceso público de forma inadvertida o para compartir archivos con otras personas. (El CEO de Amazon, Jeff Bezos, es dueño de The Post).
Miles de otros clips de Zoom, todos ellos nombrados de la misma manera, se han cargado en los sitios de videos de YouTube y Vimeo. En un clip publicado el miércoles, se puede ver a una clase de estudiantes de segundo grado aprendiendo sobre el dinero mientras están conectados desde su casa.
El problema no es exclusivo de los videos de Zoom o el almacenamiento de Amazon. Pero al diseñar su servicio, los ingenieros de Zoom omitieron algunas características de seguridad comunes de otros programas de video chat, como exigir a las personas que usen un nombre de archivo único antes de guardar sus propios clips.
Ese estilo de simplicidad operativa ha hecho que Zoom se convierta en la aplicación de video chat más popular en los Estados Unidos, pero también ha frustrado a algunos investigadores de seguridad que creen que tales accesos directos pueden hacer que los usuarios sean más vulnerables a los piratas informáticos o al abuso.
El presidente ejecutivo de Zoom, Eric Yuan, reconoció en una publicación de blog el miércoles por la noche que el servicio de su compañía se está utilizando mucho más de lo que había previsto cuando fundó la compañía en 2011.
«No diseñamos el producto con la previsión de que, en cuestión de semanas, cada persona en el mundo de repente estaría trabajando, estudiando y socializando desde casa «, escribió. La nueva base de usuarios del sistema, dijo, estaba usando Zoom en una serie de «formas inesperadas, presentándonos desafíos que no anticipamos cuando se concibió la plataforma».
Yuan también se disculpó por que Zoom no cumplió con las «expectativas de privacidad y seguridad» de los usuarios y dijo que la compañía congelaría nuevas funciones durante 90 días y redirigiría a sus ingenieros para abordar fallas de seguridad.
Los videos podrían ser una sorpresa para las personas que esperaban que sus conversaciones sensibles se mantuvieran en privado. Pero también podrían poner a las personas en riesgo personal real.
Ruth Schwartz, directora de Conscious Girlfriend, un grupo de apoyo de relaciones para mujeres lesbianas y queer, dijo que estaba alarmada al saber que los videos de sus sesiones grupales se podían ver en línea, incluido uno en el que las mujeres hablaban sobre cómo se recuperaron de sus relaciones tóxicas.
Schwartz dijo que volvió para proteger los videos de Zoom y que estaba preocupada por grupos como el suyo, en el que algunas mujeres no han compartido públicamente su orientación sexual.
«Es una llamada de atención realmente importante», dijo. «La conexión social es uno de los mayores predictores de la salud mental y física … Es muy importante para todos los que hacemos este tipo de trabajo sensible tomar las precauciones para proteger a nuestras comunidades».
Fuente: Washington Post