Seguridad

Zoom mejora la seguridad del usuario con cifrado de extremo a extremo

El lunes, Zoom implementó el cifrado de extremo a extremo para su red de reuniones en línea, brindando a sus usuarios una importante actualización de seguridad.

E2EE pone el control clave de los datos cifrados en manos de los organizadores de reuniones. Antes del lanzamiento de E2EE, los servidores de Zoom estaban encriptados y aquellos con acceso a esos servidores podían interceptar datos.

Para usar las nuevas funciones, los clientes deben habilitar las reuniones E2EE a nivel de cuenta y optar por E2EE por reunión.

«La distribución de claves a los clientes y la descentralización de la confianza brindan a los usuarios más confianza en que es menos probable que sus comunicaciones sean interceptadas por claves o infraestructuras comprometidas», Jack Mannino, CEO n Visiumdijo a TechNewsWorld el proveedor de seguridad de aplicaciones con sede en Herndon, Virginia

El director de productos, Dan Nadir, explicó que sin el cifrado de extremo a extremo, alguien con acceso a la plataforma podría interceptar conversaciones. lago sitaun proveedor de soluciones de seguridad y cumplimiento para plataformas de colaboración con sede en Santa Bárbara, California.

«Podría ser un empleado poco ético o alguien que pueda interrumpir el sistema», dijo a TechNewsWorld. «El cifrado completo de extremo a extremo elimina este punto de vulnerabilidad potencial».

servidor involuntario

En una reunión típica, Zoom explicó en un comunicado que su servidor de reuniones en la nube genera claves de cifrado para cada reunión y las distribuye a los participantes de la reunión utilizando el cliente de Zoom cuando se unen.

Con el nuevo E2EE de Zoom, los anfitriones de la reunión generan claves de cifrado y usan criptografía de clave pública para distribuir esas claves a otros participantes de la reunión, quienes también verán el código de seguridad del anfitrión de la reunión, que pueden usar para verificar la conexión segura. El anfitrión puede leer este código en voz alta y todos los participantes pueden verificar que sus clientes muestren el mismo código.

Código de seguridad de verificación de cifrado de extremo a extremo de Zoom

Los servidores de Zoom se convirtieron en repetidores involuntarios, sin ver nunca las claves de cifrado necesarias para descifrar el contenido de la reunión. Zoom no puede descifrar los datos cifrados transmitidos a través de los servidores de Zoom porque los servidores de Zoom no tienen las claves de descifrado necesarias.

“Estamos orgullosos de llevar la nueva tecnología de cifrado de extremo a extremo de Zoom a los usuarios de Zoom de todo el mundo hoy”, dijo Jason Lee, director de seguridad de la información de Zoom, en un comunicado.

«Es una característica que nuestros clientes han estado pidiendo y estamos emocionados de hacerla realidad», agregó.

Desactivar el bombardeo de zoom

Usado correctamente, incluso las agencias de inteligencia con más recursos del mundo tienen dificultades para usar E2EE para escuchar las comunicaciones que lo usan, dice Tod Beardsley, rápido 7un proveedor de soluciones de seguridad de análisis y datos con sede en Boston.

“Es por eso que es un mecanismo tan poderoso para garantizar la privacidad de quienes deben preocuparse por las organizaciones de inteligencia: periodistas que protegen fuentes, denunciantes, activistas de derechos civiles y otros”, dijo a TechNewsWorld.

El vicepresidente global, Dirk Schrader, agregó: «Es un gran beneficio para los usuarios, especialmente en la era de COVID». nueva tecnología de redun proveedor de software de cumplimiento y seguridad de TI con sede en Naples, FL.

«Esto es especialmente cierto para los usuarios gratuitos», dijo a TechNewsWorld. «Muchas escuelas y organizaciones de voluntarios de todo el mundo han estado usando Zoom para mantenerse conectados debido a problemas de privacidad y seguridad».

Uno de los primeros problemas que enfrentaron los usuarios de la plataforma fue el «Zoom Bombing», donde los intrusos irrumpen en las reuniones y las interrumpen. «E2EE puede detener esto», señala el director ejecutivo Chris Carter aproyoun proveedor de servicios de SAP en Muskegon, Wisconsin.

«Nadie puede ingresar a la reunión antes que el anfitrión», dijo a TechNewsWorld. «Cualquiera que asista a una reunión de E2EE debe proporcionar información sobre sí mismo y debe ser aprobado por el anfitrión. No pueden ingresar como invitados anónimos».

centrarse en el crimen

Carter agregó que el uso de las capacidades E2EE de Zoom conlleva compensaciones. «Si tiene E2EE activado, no puede grabar reuniones en los servidores de Zoom», explicó. «No puedes tener chats privados o grupos de trabajo».

Aunque E2EE se ofrece a los usuarios gratuitos y de pago de Zoom, la empresa inicialmente propuso limitar la función a los usuarios de pago por temor a que los delincuentes pudieran abusar de la tecnología. Ese potencial todavía existe.

«A medida que los servicios de la plataforma pasan al cifrado de extremo a extremo, significa que los proveedores de servicios y las fuerzas del orden tienen cada vez menos oportunidades de detectar a los delincuentes y a quienes utilizan los servicios con fines maliciosos», dijo William Dixon, jefe de seguridad cibernética. foro Economico Mundialuna asociación público-privada internacional con sede en Ginebra, Suiza.

Eso significa que la gente tiene que innovar y desarrollar sus ideas para detectar delitos en estas plataformas, continuó. «Las empresas de tecnología han estado utilizando varias técnicas para detectar actividades maliciosas», dijo a TechNewsWorld. «Invierten mucho en el nivel de metadatos y análisis de usuarios para proporcionar a las fuerzas del orden indicios de actividades potencialmente sospechosas».

Si bien la incorporación de E2EE ha sido una bendición para los usuarios de Zoom, la empresa también se ha beneficiado de la medida. «Los lleva al nivel de seguridad que normalmente tiene Microsoft», insiste Carter.

“Básicamente, Zoom no tenía otra opción”, dijo Schrader. «Después de toda la confusión, se tuvo que agregar el cifrado E2EE a su servicio».

Nadir afirma que el cifrado de extremo a extremo es una apuesta para cualquier empresa que desee brindar una solución seria para casi cualquier caso de uso.

“Por ser una apuesta de plataforma de comunicaciones, definitivamente no tenerla es una desventaja competitiva para cualquier tecnología en el mercado”, agregó.

Inicio de sesión único de Horizon​​​n

Las nuevas funciones de encriptación están disponibles para usuarios gratuitos y de pago, Zoom 5.4.0 para escritorio de Mac y PC, así como la aplicación de Android y Zoom Rooms.

Utiliza el mismo cifrado AES-GCM de 256 bits que se usa para proteger las reuniones que no son E2EE.

Zoom llama al lanzamiento inicial de E2EE una «vista previa tecnológica». Quiere recopilar información de los clientes sobre su experiencia con la función y alienta a los clientes a habilitar los comentarios para ampliar su cuenta y usarla para comentar sobre nuevas funciones.

Zoom señala que esto es solo el comienzo de E2EE. La siguiente fase incluirá una mejor gestión de la identidad y el inicio de sesión único.

«La administración de identidades y el soporte de inicio de sesión único facilitarán que los clientes empresariales usen Zoom como una plataforma de colaboración. Reducirá la fricción para los usuarios finales», Jeff Pollard, vicepresidente y analista principal Bosque investigación, dijo a TechNewsWorld

«Esta característica mejora y completa E2EE», agregó Schrader.

«Al hacer mal uso de las identidades robadas, los atacantes pueden unirse a sesiones cifradas y hacerse pasar por sus identidades reales para recopilar información en tiempo real», explicó. «Estos métodos no son exclusivos de Zoom, son comunes a una variedad de servicios».

«Sin embargo», continuó, «Zoom agrega que eso significa que se toma muy en serio la seguridad y la privacidad y quiere cerrar todas las brechas».

LEER  Cómo configurar rápidamente firewalld

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba