Como parte de un acuerdo, la FTC le exige a Zoom que mejore sus prácticas de seguridad

Hoy, la Comisión Federal de Comercio (FTC, por su sigla en inglés) anunció un acuerdo resolutorio con Zoom Video Communications, Inc. que establece que la compañía deberá implementar un robusto programa de seguridad de la información para resolver las alegaciones que implican que el proveedor de videoconferencias se comprometió en una serie de prácticas engañosas y desleales que menoscabaron la seguridad de sus usuarios.

Zoom ha acordado acatar un requerimiento que establece la implementación de un programa integral de seguridad, una prohibición con respecto a tergiversaciones de privacidad y seguridad y otras medidas detalladas y específicas tendientes a proteger su base de usuarios que ha tenido un aumento exponencial desde diciembre de 2019, cuando contaba con 10 millones de usuarios, hasta alcanzar 300 millones de usuarios en abril de 2020 durante la pandemia de COVID-19.

En su demanda, la FTC alegó que, al menos desde 2016, Zoom indujo a error a los usuarios promocionando que ofrecía una “codificación punto a punto de 256-bits” para proteger las comunicaciones de los usuarios, cuando en realidad, proveyó un nivel de seguridad más bajo. La codificación punto a punto es un método para proteger las comunicaciones que permite que únicamente las vean el emisor y el receptor o receptores, e impide que ninguna otra persona, ni siquiera el proveedor de la plataforma, pueda leer el contenido.

La FTC alega que, en realidad, Zoom mantuvo claves criptográficas que podía permitir que Zoom accediera al contenido de las reuniones de sus clientes, y que, en parte, protegió sus reuniones en Zoom Meetings con un nivel de codificación inferior al prometido.

De acuerdo a los términos de la demanda de la FTC, las declaraciones engañosas de Zoom dieron una falsa sensación de seguridad a los usuarios, especialmente a aquellos que usaron la plataforma de la compañía para tratar temas delicados o confidenciales como información de salud y financiera. En varias publicaciones de blog, Zoom promocionó específicamente su nivel de codificación como un motivo para que los clientes y potenciales clientes utilizaran los servicios de videoconferencia de Zoom.

Andrew Smith, Director del Buró de Protección del Consumidor de la FTC, dijo al respecto: "Durante la pandemia, prácticamente todos - familias, escuelas, grupos sociales, negocios - usan el servicio de videoconferencia para comunicarse, por lo cual, la seguridad de estas plataformas es más crucial que nunca. Las prácticas de seguridad de Zoom no están en la misma línea que sus promesas, y esta acción ayudará a que las reuniones en Zoom y los datos sobre los usuarios de Zoom estén protegidos”.

Según la demanda de la FTC, Zoom también indujo a error a los usuarios que querían almacenar reuniones grabadas en la nube de almacenamiento de datos de la compañía declarando falsamente que esas reuniones se codificaban inmediatamente después de finalizada la reunión. Pero se alega que, en cambio, algunas grabaciones fueron almacenadas sin codificar por hasta 60 días en los servidores de Zoom antes de que la compañía las transfiriera a su nube de almacenamiento segura.

La FTC también alegó que en julio de 2018 la compañía puso en riesgo la seguridad de algunos usuarios al instalar secretamente un software, llamado servidor web ZoomOpener, como parte de una actualización manual para su aplicación de escritorio. El servidor web ZoomOpener permitió que la aplicación Zoom se activara automáticamente y que un usuario se sumara a una reunión eludiendo una salvaguarda del explorador Safari de Apple que protegía a los usuarios contra un programa malicioso común. Sin el servidor web ZoomOpener, el explorador Safari hubiera enviado un recuadro de advertencia a los usuarios antes de activar la aplicación Zoom, cuyo texto les habría preguntado a los usuarios si deseaban lanzar la aplicación.

En la demanda se alega que Zoom no implementó ninguna medida compensatoria para proteger la seguridad de los usuarios y aumentó el riesgo de videovigilancia remota por parte de extraños. El software permaneció instalado en las computadoras de los usuarios incluso después de que eliminaran la aplicación Zoom y, en algunas circunstancias, se podía reinstalar automáticamente la aplicación Zoom sin ninguna intervención del usuario. En la demanda se alega que el despliegue del ZoomOpener por parte de Zoom, sin el debido aviso o consentimiento del usuario, constituye una práctica desleal e infringe la Ley de la FTC. En 2019 Apple eliminó el servidor web ZoomOpener de las computadoras de los usuarios.

En la demanda también se alega que las notas de Zoom para la versión de la actualización de julio de 2018 eran engañosas porque no revelaban adecuadamente que la actualización de la aplicación instalaría el servidor web ZoomOpener en las computadoras de los usuarios y que circunvalaría una salvaguarda del explorador Safari, ni que dicho programa permanecería en las computadoras de los usuarios incluso después de que los usuarios eliminaran la aplicación Zoom.

Como parte del programa integral de seguridad de la información propuesto, Zoom debe adoptar medidas específicas dirigidas a solucionar los problemas identificados en la demanda. Por ejemplo:

• Debe evaluar y documentar anualmente cualquier riesgo potencial de seguridad interno y externo y desarrollar formas de salvaguarda contra dichos riesgos.
• Debe implementar un programa de manejo de vulnerabilidad.
• Debe desplegar salvaguardas tales como un sistema de autenticación de múltiples factores para proteger su red contra acceso no autorizado; instituir controles de eliminación de datos y tomar medidas para prevenir el uso de credenciales de usuarios que se sepa que han sido comprometidas.

Además, el personal de Zoom deberá revisar todas las actualizaciones de seguridad para controlar cualquier defecto de seguridad y deberá asegurar que las actualizaciones no obstaculicen las funciones de seguridad de terceros.

Bajo los términos del acuerdo propuesto, Zoom también tiene prohibido efectuar tergiversaciones con respecto a sus prácticas de privacidad y seguridad, lo cual incluye el modo en que recolecta, usa, mantiene o divulga la información personal, sus funciones de seguridad y en qué medida los usuarios pueden controlar la privacidad o seguridad de su información personal.

Por último, la compañía debe someter su programa de seguridad a evaluaciones bianuales realizadas por un tercero independiente, que será autorizado por la FTC, y deberá notificar a la Comisión en caso de que sufra un incidente de seguridad de datos.

El resultado de la votación de la Comisión para expedir la demanda administrativa propuesta y para aceptar el acuerdo por consentimiento con la compañía fue 3-2. Los Comisionados Rohit Chopra y Rebecca Kelly Slaughter emitieron declaraciones en disidencia, mientras que el Chairman Joe Simons, como así también los Comisionados Noah Joshua Phillips y Christine S. Wilson, emitieron una declaración de mayoría.

En breve, la FTC publicará una descripción del conjunto de medidas del acuerdo por consentimiento en el Registro Federal. El acuerdo estará sujeto a comentarios públicos durante los 30 días siguientes a su publicación en el Registro Federal, y una vez cumplido dicho plazo, la Comisión decidirá si la orden de consentimiento propuesta adquirirá carácter final.  Las instrucciones para presentar comentarios figurarán en el aviso publicado. Después de procesar los comentarios, serán publicados en el sitio web Regulations.gov.

NOTA: La Comisión presenta una demanda administrativa cuando existe una "razón para creer" que la ley ha sido o está siendo violada, y cuando la Comisión considera que el procedimiento es de interés público. Cuando la Comisión expide una orden por consentimiento de carácter final, posee fuerza de ley con respecto a las futuras acciones. Cada infracción a cada una de estas órdenes puede ser sancionada con una multa administrativa de hasta $43,280.