Un profesor decide dar una clase a sus alumnos utilizando Zoom, ahora que el COVID-19 ha puesto en confinamiento a medio mundo. De repente, un desconocido se suma a la videollamada con los alumnos y comienza a insultar al profesor, mostrar imágenes obscenas y faltar al respeto a los demás. No ha ocurrido ni una ni dos veces, sino que se está convirtiendo en una situación cada vez más habitual, es lo que se conoce como el fenómeno 'zoombombing'. Y también puede implicar porno, racismo y homofobia.
Gracias a sus generosas características en el plan gratuito, a la gran cantidad de usuarios que acepta pot videollamada o la calidad de estas, Zoom es una de las plataformas que más se está beneficiando del confinamiento. Pero este éxito ha venido acompañado de multitud de preocupaciones de privacidad y seguridad que han surgido estas últimas semanas y recopilamos recientemente. Tanto es así que Zoom ha anunciado en las últimas horas la pausa de cualquier desarrollo de novedades para centrarse en mejorar la seguridad y privacidad de su plataforma durante los próximos 90 días.
De todos estos problemas, el que más relevancia está cogiendo es el 'zoombombing'. Por la configuración y diseño de la plataforma, usuarios desconocidos se pueden sumar a una videollamada si disponen de la URL de esta y si el anfitrión no ha tomado las medidas de protección necesarias. ¿Resultado? Decenas de incursiones de desconocidos en videollamadas. En muchas situaciones para ofender a niños, grupos religiosos o similares.
Además de estos ataques "activos", también se puede dar una incursión más "pasiva" donde el atacante pase desapercibido si es una videoconferencia lo suficientemente grande con decenas de personas. De este modo puede conseguir información de la videollamada o grabarla sin el permiso de los demás.
La mayoría de los ataques en Zoom sin embargo no son por carencias de seguridad en el servicio, sino más bien por la falta de opciones de privacidad o la configuración incorrecta de estas. Si una videollamada se establece como pública, es evidente que cualquier persona puede entrar disponiendo del enlace. Por lo tanto, depende mucho de cómo el anfitrión configure la videollamada y de la responsabilidad de los huéspedes de compartir los datos o no. La duda que surge es si Zoom hace lo suficiente para mitigar estas incursiones.
La plataforma ha publicado una detallada guía de cómo evitar esto. Hay muchos consejos que se ofrecen, aunque en líneas generales tiene que ver con restringir el acceso a los demás participantes y hacer la videollamada más privada. Por ejemplo, es posible permitir la entrada de usuarios sólo con contraseña, crear una sala de espera desde la que aprobar o no la entrada de nuevos usuarios, desactivar los vídeos y el audio de los huéspedes o desactivar los chats privados.
Todas las medidas anteriores poco efecto tienen cuando son los propios integrantes de las videollamadas los que quieren ser "bombardeados". Y es lo que está ocurriendo, a menudo los estudiantes buscan que alguien entre en la videollamada con sus profesores y resto de compañeros de clase para ser objeto de una broma o vengarse del profesor. Para ello están publicando multitud de enlaces y contraseñas de entrada a videollamadas en plataformas de Internet.
Según comenta ZDNet, Internet se ha plagado de comunidades online donde los usuarios comparten URLs y códigos solicitando que los demás entren para insultar, dejen material pornográfico o amenacen. El medio pudo dar con más de 30 canales en Discord donde se compartía este contenido, también hilos en Reddit, tweets y más. De hecho, hay quien hasta ha creado scripts para encontrar automáticamente estas URLs (comparten caracteres comunes tipo "zoom.us/j/") en redes sociales.
Automated Zoom conference meeting finder 'zWarDial' discovers ~100 meetings per hour that aren't protected by passwords. The tool also has prompted Zoom to investigate whether its password-by-default approach might be malfunctioning # pic.twitter.com/h0vB1Cp9Tb
— briankrebs (@briankrebs) April 2, 2020
PCMag explica que detrás a menudo se encuentran niños y adolescentes que buscan ser sujetos de una broma. La broma sin embargo suele ser mucho más que una interrupción de la clase y acaba en situaciones como que se comparta material NSFW delante de menores. En otros casos, como sesiones públicas para hacer deporte, es más complicado evitar que la URL sea pública cuando el propósito es precisamente ese.
Tal y como informa Motherboard, el sucesor del foro 8chan ha estado organizando ataques masivos contra videoconferencias de judíos. En entradas de este foro se han publicado URLs de videoconferencias de Zoom de profesores de escuelas judías para entrar en ellas y atacar con insultos racistas y más discursos del odio. Un caso similar contra una sinagoga judía se dio recientemente según contaba BBC.
¿Y una vez dentro? Los trolls suelen grabar las sesiones de 'zoombombing' y luego las cuelgan en plataformas de vídeo online como Youtube. Una búsqueda rápida de "zoombombing" o "zoom raid" en la plataforma devuelve decenas de vídeos. YouTube no prohibe este tipo de vídeos a no ser que haya material pornográfico en ellos. Hablando de YouTube, las sesiones Live de aquí también pueden ser diana de estos trolls, aunque en este caso sólo pueden publicar contenido en los comentarios.
Desde Xataka nos hemos puesto en contacto con Zoom para ver cuál es su posición al respecto. La compañía nos ha remitido al anuncio mencionado anteriormente en el que pausan las novedades durante tres meses para centrarse en mejorar la privacidad.
.