Zoom refuerza la seguridad del usuario con cifrado de extremo a extremo

 Cifrado de extremo a extremo de Zoom

Zoom ofreció a sus usuarios una gran actualización de seguridad el lunes cuando implementó el cifrado de extremo a extremo para su red de reuniones en línea.

E2EE pone el control de las claves para la codificación de datos en manos de los organizadores de reuniones. Antes del lanzamiento de E2EE, el cifrado se realizaba en los servidores de Zoom, donde alguien con acceso a esos servidores podía interceptar los datos.

Para usar la nueva función, los clientes deben habilitar las reuniones de E2EE a nivel de cuenta y optar por E2EE en un por reunión.

 Cifrado de extremo a extremo de Zoom

"La distribución de claves a los clientes y la descentralización de la confianza ofrece a los usuarios una mayor seguridad de que es menos probable que sus comunicaciones sean interceptadas a través de claves comprometidas o infraestructura ", dijo Jack Mannino, director ejecutivo de nVisium un proveedor de seguridad de aplicaciones en Herndon, Va., a TechNewsWorld

Sin el cifrado de extremo a extremo, existe la posibilidad de que alguien con acceso a la plataforma interceptar conversaciones, explicó Dan Nadir, director de producto en Theta Lake una empresa de comunicaciones unificadas en Santa Bárbara, California

"Eso podría ser un empleado sin escrúpulos o alguien que es capaz de violar el sistema ", dijo a TechNewsWorld. "El cifrado completo de un extremo a otro elimina este punto potencial de vulnerabilidad".

Servidores ajenos

En reuniones típicas, Zoom explicó en un comunicado, sus servidores de reuniones en la nube generan claves de cifrado para cada reunión y las distribuyen a los participantes de la reunión que utilizan clientes de Zoom a medida que se unen.

Con el nuevo E2EE de Zoom, Continuó, el anfitrión de la reunión genera claves de cifrado y utiliza criptografía de clave pública para distribuir estas claves a los otros participantes de la reunión, quienes también verán el código de seguridad del líder de la reunión que pueden usar para verificar la conexión segura. El anfitrión puede leer este código en voz alta y todos los participantes pueden verificar que sus clientes muestren el mismo código.

 Cifrado de extremo a extremo de Zoom verificar el código de seguridad

Los servidores de Zoom se convierten en retransmisores ajenos y Nunca vea las claves de cifrado necesarias para descifrar los contenidos de la reunión, explicó. Los datos cifrados transmitidos a través de los servidores de Zoom son indescifrables para Zoom, ya que los servidores de Zoom no tienen la clave de descifrado necesaria.

"Estamos muy orgullosos de llevar el nuevo cifrado de extremo a extremo de Zoom a los usuarios de Zoom en todo el mundo hoy", Zoom CISO Jason Lee dijo en un comunicado:

"Esta ha sido una característica muy solicitada por nuestros clientes y estamos emocionados de hacerla realidad", agregó.

Desactivación del bombardeo de zoom

Cuando se usa correctamente, E2EE puede dificultar que incluso las agencias de inteligencia con los mejores recursos del mundo escuchen a escondidas las comunicaciones que lo utilizan, observó Tod Beardsley, director de investigación en Rapid 7 un proveedor de soluciones de seguridad de datos y análisis en Boston.

"Es por eso que es un mecanismo tan poderoso para garantizar la privacidad de los tipos de personas que necesitan preocuparse por las organizaciones de inteligencia: periodistas que protegen fuentes, denunciantes, activistas de derechos humanos y otros ", dijo a TechNewsWorld.

" El beneficio para los usuarios, especialmente en tiempos de COVID, es sustancial ", agregó Dirk Schrader, vicepresidente global de New Net Technologies a Nápoles, Proveedor de software de cumplimiento y seguridad de TI con sede en Florida.

"Eso es particularmente cierto para los usuarios gratuitos", dijo a TechNewsWorld. "En todo el mundo, muchas escuelas y organizaciones de voluntarios han estado utilizando Zoom para mantenerse en contacto, en medio de preocupaciones sobre la privacidad y la seguridad".

Uno de los primeros problemas que enfrentaron los usuarios de la plataforma fue el "Bombardeo de Zoom", en el que los intrusos invadían las reuniones. y los interrumpió. "E2EE puede detener eso", señaló Chris Carter, director ejecutivo de Approyo un proveedor de servicios de SAP en Muskego, Wis.

"Nadie puede participar en una conferencia antes que el anfitrión", dijo a TechNewsWorld. "Cualquiera que participe en una conferencia E2EE tiene que proporcionar información sobre sí mismo, y el anfitrión tiene que aprobarlo. No puede entrar como invitado anónimo".

Preocupación por el crimen

Carter agregó que había ventajas e inconvenientes para usar la función E2EE de Zoom. "Si tiene E2EE activado, no puede grabar reuniones en los servidores de Zoom", explicó. "No se pueden hacer chats privados o salas de reuniones".

Aunque E2EE se ofrece tanto a usuarios gratuitos como de pago de Zoom, la compañía inicialmente propuso limitar la función a los usuarios que pagan por preocupaciones de que los delincuentes podrían abusar de la tecnología. Ese potencial aún existe.

"A medida que los servicios de la plataforma pasan al cifrado de extremo a extremo, significa que hay menos oportunidades para que los proveedores de servicios y las fuerzas del orden detecten a los delincuentes y las personas que utilizan un servicio con fines maliciosos", dijo William Dixon. , jefe de ciberseguridad del Foro Económico Mundial una organización internacional para la cooperación público-privada, con sede en Ginebra, Suiza.

Lo que eso significa, continuó, es que la gente tiene que innovar y desarrollar su pensando en detectar delitos en estas plataformas. "Las empresas de tecnología han estado utilizando una variedad de técnicas para detectar actividad maliciosa", dijo a TechNewsWorld. "Están invirtiendo mucho en análisis a nivel de metadatos y de análisis de usuarios para brindar consejos a las fuerzas del orden sobre posibles actividades sospechosas".

Si bien agregar E2EE es una bendición para los usuarios de Zoom, la compañía también se beneficia de la medida. "Los lleva a un nivel de seguridad que normalmente tiene Microsoft", sostuvo Carter.

"Básicamente, Zoom no tenía otra opción", dijo Schrader. "Agregar cifrado E2EE a sus servicios era imprescindible después de toda la confusión que atravesó".

Nadir afirmó que el cifrado de extremo a extremo es un desafío para cualquier empresa que quiera proporcionar una solución seria para prácticamente cualquier caso de uso.

"Dado que es un juego de mesa para las plataformas de comunicaciones, no tenerlo es definitivamente una desventaja competitiva para cualquier tecnología en el mercado", agregó.

Inicio de sesión único en Horizon

La nueva función de cifrado está disponible tanto para usuarios gratuitos como de pago y en Mac y PC, versión 5.4.0 de Zoom, así como en la edición de Android de la aplicación y Zoom Rooms.

Utiliza el mismo cifrado AES-GCM de 256 bits que se utiliza para proteger las reuniones que no son E2EE.

Zoom está llamando a este lanzamiento inicial de E2EE una "vista previa técnica". espera recopilar comentarios de los clientes sobre sus experiencias con la función y los anima a habilitar Feedback to Zoom en sus cuentas y usarlo para comentar sobre la nueva función.

Zoom señaló que esta es solo la fase inicial de E2EE para él . La siguiente fase incluirá una mejor administración de identidades y un inicio de sesión único.

"La administración de identidades y el soporte de inicio de sesión único facilitarán que los clientes empresariales utilicen Zoom como plataforma de colaboración. Reducirá la fricción para los usuarios finales". Jeff Pollard, vicepresidente y analista principal de Forrester Research dijo a TechNewsWorld

"Esta funcionalidad aumenta y completa E2EE", agregó Schrader.

"Al hacer un mal uso de una identidad robada, un atacante puede unirse una sesión encriptada que se hace pasar por la identidad real para recopilar información en tiempo real ", explicó. "Estos métodos no son exclusivos de Zoom, son comunes para todo tipo de servicios".

"Aún así", continuó, "Zoom agrega que esto significa que se toma la seguridad y la privacidad realmente en serio y quiere cerrar todas las brechas".


Leave a Reply

Your email address will not be published. Required fields are marked *