Noticias
Zoom adquiere Keybase: una inversión en seguridad
Zoom pretende enmendar sus problemas de seguridad, y para dar otro paso en este sentido acaba de adquirir Keybase, un servicio de directorio público de claves.
Es más que obvio que los responsables de Zoom saben que tienen un enorme problema llamado seguridad. Basta con revisar las últimas noticias relacionadas con este servicio de videoconferencia para comprobar que, si te preocupa mínimamente la seguridad, probablemente deberías optar por algún otro servicio de su misma categoría. Pero, como digo, al menos son conscientes de ello y han decidido priorizar la securización del servicio con un plan de 90 días anunciado a principios de abril, que un amplio conjunto de medidas que iremos conociendo a lo largo de los próximos meses.
Dentro de ese ambicioso (y necesario) plan, hoy sabemos por una publicación en el blog de la compañía, que ya han dado el primer paso en este sentido con la adquisición de Keybase, uns start-up que inició su actividad en 2014 y con base en Nueva York. Desde sus orígenes, esta compañía se ha dedicado a la puesta en marcha de un servicio de directorio público de claves, que además se pueden asociar a perfiles de redes sociales, lo que permite establecer comunicaciones seguras gracias al cifrado de los datos.
Y sí, es cierto que Zoom ya cifra las comunicaciones entre ambos puntos, pero con una diferencia importante: es la misma compañía la que gestiona las claves en sus servidores. Claro, esto significa que, si quisiera hacerlo, podría espiar las comunicaciones de sus usuarios, ya que estos no tienen control alguno sobre las claves de cifrado y descifrado empleadas en la conexión. Un sistema que, sin duda y por lógica, provoca el rechazo absoluto en cualquier persona preocupada por mantener su privacidad a buen recaudo.
Con la incorporación de la tecnología de Keybase a Zoom, el servicio próximamente pasará a ofrecer cifrado de extremo a extremo en el que el intercambio de claves se lleve a cabo directamente a través del directorio. Es decir, a partir de la implementación de este sistema en el servicio, las claves privadas (las que se emplean para descifrar los mensajes) ya no serán gestionadas por la empresa, sino por sus propietarios. De esta manera se elimina por completo el riesgo de que, al tener acceso a las mismas, pudiera verse tentada a revisar el contenido de dichas comunicaciones.
Esta es una operación que se viene fraguando desde abril, cuando se produjo la llegada a Zoom de Alex Stamos, ex responsable de seguridad de Facebook. Según afirma CNBC, una de las primeras cosas que hizo fue contactar con Max Krohn, cofundador de Keybase para proponerle empezar a trabajar en un acuerdo. Poco después fue el CEO de Zoom, Eric Yuan, quien estuvo al habla con los responsables de la start-up, y tras dichas conversaciones se optó por seguir adelante hasta llegar a la reciente adquisición.
Debemos tener en cuenta, eso sí, dos aspectos importantes. El primero es que este nuevo sistema de cifrado todavía no está disponible en Zoom. Se trata de un cambio que resulta un tanto complejo y, por lo tanto, los responsables del mismo todavía no han facilitado información sobre fechas y planes de implantación. No obstante, sí que hay una hoja de ruta sobre la que Yuan ha hablado en la publicación del blog:
«Planeamos publicar un borrador detallado del diseño criptográfico el viernes 22 de mayo. Luego, organizaremos grupos de discusión con la sociedad civil, expertos en criptografía y clientes para compartir más detalles y solicitar comentarios. Una vez que hayamos evaluado estos comentarios para integrarlos en un diseño final, anunciaremos nuestros hitos de ingeniería y objetivos para su implementación«.
Y el otro punto al que me refería es que no todos los usuarios de Zoom podrán emplear esta nueva modalidad de cifrado. Según se plantea en el blog, solo los usuarios con cuentas de pago en el servicio podrán acogerse al sistema de intercambio de claves a través de Keybase. El resto, al menos a corto plazo, tendrán que seguir confiando en el sistema actual… u optando por otros servicios que sí que les ofrezcan un nivel adecuado de seguridad.
Personalmente tengo que decir que me parece un error. Hay muchos aspectos en los que se puede mejorar la seguridad de Zoom, y estoy seguro de que se darán más pasos en este sentido. Sin embargo, limitar el acceso a algo tan básico como la privacidad de las comunicaciones solo a las cuentas de pago me parece excesivo. Casi entendería más que se eliminaran las cuentas gratuitas y se convirtiera, exclusivamente, en un servicio profesional.