El CEO de Zoom, Eric Yuan y otros ejecutivos de la compañía, informaron sobre los avances del plan de seguridad de 90 días que empezó el 1 de abril con el propósito de incrementar la seguridad y privacidad de la plataforma. Las principales actualizaciones de esta semana son:
Seguridad de las reuniones
Lynn Haaland, asesora general de Zoom y directora de cumplimiento y ética, mencionó lo que Zoom ha estado haciendo en los últimos meses para evitar interrupciones causadas por personas maliciosas en las reuniones. Entre las acciones están la inclusión de configuraciones de seguridad estándar, como contraseñas y salas de espera para ciertos usuarios, la aplicación de controles de seguridad en las reuniones desde el ícono de Seguridad, además de mecanismos para informar a los usuarios, trabajar en estrecha colaboración con las autoridades y otras plataformas en línea, así como acciones para orientar a los usuarios sobre las mejores prácticas de seguridad.
Lynn también reiteró las siguientes recomendaciones para proteger las reuniones de Zoom:
- No compartir públicamente el ID de reunión o contraseñas.
- Mantener habilitadas las funciones de seguridad predeterminadas de Zoom: Esto incluye salas de espera, contraseñas y uso compartido de pantalla restringido.
- Conocer las características de privacidad y seguridad del organizador de la reunión, como deshabilitar video, silenciar a los participantes, eliminar participantes y bloquear una reunión.
- Usar la herramienta de registro de la reunión (los participantes deben ingresar el correo electrónico, el nombre o cualquier otra información).
Lynn explicó que Zoom Meetings no fue diseñado para eventos públicos o de gran escala donde las personas publican la invitación en internet. Con este fin, Zoom recomienda usar los seminarios web de video de Zoom, que ofrecen más control sobre la audiencia y la experiencia.
Programa de recompensas de errores
Katie Moussouris, fundadora y CEO de Luta Security y consultora de seguridad de Zoom, informó sobre cómo funcionará el programa de recompensas de errores de Zoom y explicó que utiliza un modelo de crowdsourcing que depende de todas las partes, incluidos los investigadores de seguridad, para encontrar y reportar errores. También señaló que, antes de que Zoom implemente cambios en su programa de recompensas de errores, la compañía solicitará comentarios de la comunidad en general para optimizar esos programas.
Permiso de Zoom Phone aprobado por FedRAMP
Se ha aprobado el permiso de Zoom Phone por parte del FedRAMP (Programa Federal de Administración y Autorización de Riesgos) de Estados Unidos. Esta autorización permite a las agencias y contratistas del gobierno federal de los Estados Unidos, utilizar ahora el teléfono Zoom como parte de la oferta existente de Zoom para Gobierno. Zoom para Gobierno proporciona a las agencias del gobierno de Estados Unidos una plataforma completa de UCaaS, que incluye Zoom Meetings y chat, Zoom Video Webinars, soluciones para salas de conferencias y ahora, Zoom Phone.
Recordatorio de Zoom 5.0
La versión 5.0 de Zoom está disponible desde el 27 de abril y una activación de cuenta de todo el sistema para el cifrado GCM AES de 256 bits tendrá lugar el 30 de mayo de 2020. Solo los clientes de Zoom en la versión 5.0 o posterior, incluyendo Zoom Rooms, podrán unirse a las reuniones de Zoom a partir de esa fecha.
Zoom recomienda que todos los usuarios actualizar a Zoom versión 5.0 o superior, si aún no lo han hecho. Los administradores de Zoom deben visitar la página de administradores de TI para administrar esta actualización para su entorno. Los usuarios pueden tener una demostración previa de la experiencia de GCM en zoom.us/testgcm.
Artículo de diseño de cifrado end-to-end
Zoom publicará un borrador detallado del diseño criptográfico para su oferta de criptografía end-to-end, en GitHub. La compañía organizará charlas con expertos en criptografía, clientes, grupos de defensa y otros para recopilar comentarios para la evaluación del diseño final.