El servicio de videoconferencias Zoom se ha hecho con Keybase. Tal y como han anunciado, acaban de adquirir la empresa e integrarán a sus trabajadores y tecnologías en el equipo de Zoom. Pero, ¿qué tiene Keybase para despertar el interés de Zoom?
Keybase es un servicio gratuito y open source lanzado en 2014 y con el propósito de mejorar la seguridad de los usuarios. Podemos definir Keybase como un directorio de claves que permite verificar la identidad de una persona en el mundo digital. Para ello el servicio asocia una clave PGP a diferentes perfiles en redes sociales y plataformas que tengamos en Internet.
¿Para qué es importante esto? Verificar la identidad de una persona no es algo sencillo, menos aún en plataformas digitales. Si queremos ponernos en contacto con una persona ¿cómo podemos saber a ciencia cierta que es quien dice ser? Keybase en cierto modo recopila en un sólo lugar todas las pruebas posibles que una persona puede aportar para demostrar que es quien dice ser.
Por ejemplo, en Keybase podemos asociar a nuestra clave PGP el perfil de Twitter, el perfil de GitHub, el perfil de Reddit o la web personal entre otras cosas. Para hacerlo hay que publicar por ejemplo un tweet en Twitter o un post en Reddit con un mensaje concreto. En la página web habrá que añadir un fichero en el servidor. La acumulación de todas estas pruebas hacen que sea más fácil confiar en que una persona es quien dice ser ya que difícilmente le han hackeado todos los servicios con los que cuenta para falsificar su identidad en Keybase.
Adicional a esto, Keybase también tiene su propio servicio de mensajería integrado. Permite comunicaciones entre individuos y grupos de forma segura con cifrado de extremo a extremo. Es decir, sólo el dispositivo que envía el mensaje y el que lo recibe pueden descifrarlo, ningún intermediario o incluso los servidores de Keybase pueden hacerlo. Keybase también permite guardar y compartir archivos de forma segura por el mismo proceso de cifrado end-to-end.
Cuando dos personas se comunican por Keybase el servicio comprueba todas las identidades para verificar que todo está correcto. Cada uno de los dispositivos de los usuarios de Keybase tienen una llave de cifrado única, por lo que al enviar un mensaje este está cifrado de forma separada para cada dispositivo del usuario. De este modo si el usuario pierde un dispositivo o deja de utilizarlo al comunicarlo en Keybase se desactiva sólo esa llave de cifrado para que automáticamente los futuros mensajes ya no se envíen a ese dispositivo.
Numerosos han sido los problemas de privacidad y seguridad a los que ha tenido que enfrentarse Zoom en los últimos meses. Esto se debe en especial a su rápida popularización por el confinamiento a nivel global. Aparecieron también prácticas no deseables como el 'zoombombing'. Para hacer frente a todo esto, Zoom anunció un plan de 90 días en el que se iban a centrar en mejorar la privacidad y la seguridad del servicio en vez de añadir nuevas características. Un reenfoque estratégico que parece estar dando sus primeros frutos.
Una de las primeras cosas que hicieron fue añadir a Alex Stamos como asesor en seguridad. Alex Stamos es ex empleado de Facebook y Yahoo!, donde se ha encargado del departamento de seguridad. Integrar Keybase y su tecnología parece ser el siguiente paso.
El objetivo de Zoom es disponer de un canal de comunicación cifrado de extremo a extremo para sus usuarios de pago. Actualmente el cifrado que utiliza Zoom es TLS, que envía de forma segura la información al servidor y del servidor al otro usuario, pero permite al servidor acceder al audio y el vídeo sin cifrar.
Crear un sistema de cifrado de extremo a extremo para un servicio tan grande como Zoom y que además está basado en videollamadas no es tarea sencilla. Entre empezar la tecnología desde cero o adquirir experiencia de otra empresa, Zoom ha optado por lo segundo. Keybase y su equipo de trabajadores tienen experiencia en el cifrado de extremo a extremo y parte de la tecnología se podrá integrar en el proyecto de Zoom. Así lo indican:
"Integrar el equipo de Keybase en la familia de Zoom nos ayudará a construir el cifrado de extremo a extremo que permitirá mantener la escalabilidad de Zoom."
"El experimentado equipo de Keybase va a ser crítico en esta parte de la misión".
Finalmente, ¿debe un usuario de Keybase preocuparse de que ahora el servicio pertenezca a Zoom? En principio no. La gracia de servicios open source y por cómo está diseñado Keybase es que uno no tiene por qué preocuparse de a quién pertenezca el servicio. Es decir, por la arquitectura del servicio con cifrado de extremo a extremo es técnicamente imposible que Zoom pueda acceder a los datos de los usuarios. Otra historia diferente es que Zoom decida cerrar el servicio, eso es algo que de momento no se sabe.
Más información | Zoom
.