Recientemente recibimos una propuesta por la que nos solicitaba información sobre una probable videoconferencia on-line con menores a través de la plataforma Zoom.
Por el momento, y hasta que los especialistas en seguridad realicen más comprobaciones, consideraremos no utilizar Zoom para según qué cosas. Para estos días de cuarentena y de forma semiprofesional, sin problema. Para tratar reuniones en las que haya que hablar de algo sensible o se transmitan datos de menores (sus caras, sus voces), yo esperaría.
La idea que debe prevalecer es que, si bien todas las plataformas han tenido alguna vez problemas de seguridad, estos se han ido corrigiendo poco a poco.
Las empresas de antivirus están indicando dos cosas importantes:
La primera es que la aplicación está pensada para empresas. Por tanto, comparte por defecto los correos electrónicos de los participantes como si ya los participantes los conocieran.
Claro, eso suele ocurrir entre los miembros de un departamento de la misma empresa. Pero para particulares se genera un problema de información previa en caso de que los demás participantes desconozcan esta circunstancia.
La segunda es que la empresa que ha creado Zoom ha sufrido un problema de éxito repentino. Sencillamente, su volumen de demanda ha crecido de tal manera que con toda probabilidad no han podido resolver algunos desafíos de producción. Se trata de algo que, como las demás plataformas habituales irán resolviendo.
Sin embargo, en el momento de la consulta, nosotros tuvimos que presentar algunas objeciones para trabajar con menores de edad en esta plataforma.
Para resumir, las objeciones que indicamos fueron las siguientes, a 20 de abril de 2020.
Objeciones técnicas:
Existen brechas de seguridad que permitirían a terceros acceder a la información personal de los menores durante la transmisión, sobre todo si el usuario emplea Windows (fuente INCIBE).
Aunque recientemente se publicado una actualización para resolver este problema no se ha podido validar su eficacia todavía ni existen datos de que las vulnerabilidades hayan sido solucionadas.
Así lo indica Kaspersky en una entrada de su blog del 9 de abril.
Tambiénaunque supongo que así es, no tengo evidencias de que la versión de Zoom que la organización pretendía utilizar para un grupo con menores fuera de pago ni si la persona encargada de instalar la plataforma iba a tener cuidado para que la versión fuera la oficial, por lo que se previno sobre ello.
Como norma general, los programas gratuitos se consideran de mayor riesgo que si la licencia se adquiere de pago. Los programas de descarga gratuitos suelen implicar que la gratuidad se hace a cambio de datos. Se recomienda desconfiar. (Fuente: GDT Guardia Civil).
Siguiendo los consejos de Kasperki, tratamos de averiguar si la versión de la plataforma que se pretendía usar iba a ser la de pago o la descarga. Existe una diferencia entre una y otra basada en la posibilidad de acceso no advertido a la información en tránsito sobre la que habría que informar a los usuarios antes de proceder.
Aunque Zoom presume de cifrado de extremo a extremo en realidad solo cifra desde su equipo hasta los servidores de Zoom. Eso implica que los empleados de Zoom y quien sabe quién más podría tener acceso a las imágenes y audios de los menores afectados.
Objeciones legales:
No se había establecido previamente un consemiento expreso e informado para la tranasmisión de datos personales de menores afectados a través de servidores de terceros. Los de Zoom, sitos fuera del EEE (Espacio Económico Europeo).
En la relación firmada entre los padres de los menores participantes y la organización que proponía el uso de la herramienta Zomm no se había establecido previamente una advertencia formal a los padres o tutores para que bajo su responsabilidad en caso contrario se abstengan de registrar o difundir los datos personales de los menores afectados.
Como se ha indicado antes, Zoom considera los correos y los de los demás como los de una misma empresa, así que los comparte. Los participantes pueden ver la dirección electrónica de los demás participantes.
No es que me esté repitiendo, es que la imposibilidad de ocultar los correos de unos usuarios a otros no parecía contemplada en la versión a utilizar y eso es un aspecto técnico. Pero la necesidad de consentimiento para el uso, sobre todo con menores, es un aspecto legal. Considero que también deberíamos consentir explícitamente en esto antes de proceder.
Las condiciones de privacidad de Zoom no indican si esta empresa se encuentra sometida a Escudo de Privacidad según el RGPD Europeo (Fuente Zoom.us).
Aunque Zoom se encuentra sometido a las leyes de protección de los menores en actos educativos la llamada California Consumer Privacy Act dado que sus servidores están allí (fuente: Panda) no me queda claro que sea una legislación suficientemente equivalente a las normas europeas.
Objeciones organizativas:
No se han comunicado las medidas básicas de seguridad que deberán aplicar los intervinientes para la protección de los menores.
No se había procurado a los padres de los menores potencialmente participantes una información o concienciación como podría haber sido la siguiente:
Al los padres o tutores de los menores participantes en la actividad X, que tendrá lugar la fecha (la que sea) a la hora (la que corresponda).
Antes de proceder en la plataforma Zoom, cualquier padre tutor debería considerar y realizar lo siguiente:
1. La cuenta abierta de Zoom debe contar con una contraseña segura: más de ocho caracteres, no usada para otros registros, combinación de letras números, símbolos, mayúsculas y minúsculas.
2. Zoom proporciona un ID cuando uno se registra. Este ID no debe ser compartido con nadie.
3. Mejor usar un correo de trabajo para registrarse, así deja de ser un dato personal y no es problemático que se comparta (respecto a la LOPD-GDD, ojo) aun sin consentimiento de los participantes. A ese respecto se recuerda que existe una edad mínima de consentimiento para disponer de cuenta de correo electrónico gratuitas, como son Gmail, Hotmail. Yahoo, y cualquier otra similar.
4. NUNCA usar las redes sociales para compartir los enlaces a las conferencias, podrían ser vistas.
5. Abrir la reunión con una contraseña de reunión y que esta sea diferente a la de tu inicio de sesión.
6. Para el anfitrión: El anfitrión debe activar la «sala de espera» para ir dando acceso a los invitados y así poder comprobar quienes son antes de que entren.
7. Si la reunión puede hacerse sin que todos vean las pantallas de todos y solo se vea la del anfitrión, mejor. (Pero entendimos que esto no sería posible en la actividad descrita).
8. Hasta que una fuente fiable indique que los problemas de seguridad pasados han sido resueltos se recomienda que el usuario utilice un dispositivo secundario.
9. Las familias deben intentar reparar un escenario limpio en el que los interlocutores o los posibles intrusos no puedan ver nada de la vida personal de los participantes, y menos si estos poseen sistemas de compra activables por voz u otros artefactos que dispongan de una IP.
