Zoom compra una startup especializada en cifrar mensajes de extremo a extremo para solventar sus problemas de ciberseguridad

Zoom ha comprado Keybase, una startup especializada en servicios seguros de mensajería y archivos compartidos. La noticia la ha dado el CEO de la propia plataforma de videollamadas, Eric Yuan, quien ha explicado en un post que esta adquisición se enmarca en el plan de 90 días que se impusieron a sí mismos para mejorar sus problemas de ciberseguridad.

"Estamos orgullosos de anunciar la adquisición de Keybase, otro hito en el plan de 90 días para reforzar la seguridad de nuestra plataforma de comunicaciones en vídeo". Según cuenta Yuan, la compra es "un paso clave" en el intento de la firma de crear "una plataforma de videollamadas realmente segura con la posibilidad de escalar para albergar a millones de usuarios".

Yuan también ha prometido que el próximo 22 de mayo publicará un borrador de su nueva tecnología de cifrado. "Mantendremos conversaciones con la sociedad civil, expertos criptógrafos y usuarios para dar más detalles y recibir algunas sugerencias".

Aunque por ahora no ha trascendido a cuánto ha ascendido la operación, Tech Crunch recuerda que Keybase logró reunir hasta 11 millones de dólares en sus rondas de financiación. La última tuvo lugar en 2015 y fue liderada por Andreessen Horowitz, una firma de capital riesgo que también invirtió hace 11 años en Skype.

Leer más: Zoom ante las ciberamenazas: cómo proteger lo mejor posible tus videollamadas en tiempos de cuarentena

No está claro qué ocurrirá con Keybase, que cuenta con una app propia para intercambiar archivos y charlar con mensajes cifrados de extremo a extremo. En su propio comunicado, los directivos de Keybase especifican que "inicialmente, su principal prioridad será ayudar a que Zoom sea más seguro".

"El futuro de Keybase está en manos de Zoom, y veremos donde nos lleva. (...). El objetivo a corto plazo de nuestra directiva es mejorar significativamente la eficacia en la seguridad de un producto que es mucho más grande que Keybase. No podemos ser más específicos que eso porque acabamos de dar el salto", especifican.

Tras la compra, Zoom incorporará nuevas funcionalidades para sus suscriptores

Max Krohn es el nombre del cofundador de Keybase. Krohn reportará directamente a Yuan sus avances en materia de ciberseguridad de la compañía y dirigirá uno de los equipos de seguridad de la plataforma.

De momento, Zoom ha avanzado que sus usuarios de pago podrán emplear pronto un nuevo formato de reuniones virtuales cifradas. Los usuarios registrados generarán "identidades criptográficas públicas" que se compartirán en un repositorio de la red de Zoom, lo cual ayudará a "establecer conexiones verificadas entre los participantes". 

El problema es que estas reuniones más seguras no serán compatibles con conexiones telefónicas, no se podrán grabar mediante la nube, y no permitirá utilizar apps de terceros para acceder. Al mismo tiempo, los participantes de Zoom Rooms y Zoom Phone —otras modalidades de la plataforma— solo podrán acudir si el anfitrión de la reunión —que será suscriptor de la plataforma— lo permite explícitamente.

Zoom sigue trabajando en su plan de 3 meses para mejorar la ciberseguridad. En cuestión de semanas, la base de usuarios de la plataforma ha pasado de unos 10 millones a finales de 2019 a superar los 300 millones. Eso sí, la compañía ha matizado en su propia web corporativa que estos 300 millones de usuarios participantes en realidad son sesiones activas: si un usuario participa en 5 reuniones al día, contará como 5 usuarios en un día.

Los problemas de Zoom con la ciberseguridad

Precisamente el rápido crecimiento de su comunidad de usuarios es una de las razones que el propio CEO de la plataforma, Yuan, esgrimió cuando pidió disculpas públicas por la cantidad de problemas de ciberseguridad que se empezaron a detectar en la plataforma. El directivo advertía que en un principio Zoom estaba diseñada para reuniones de trabajo, pero que nadie se podía esperar que una pandemia iba a obligar a confinarnos en casa y a utilizar alternativas de videollamadas de forma constante.

Los primeros indicios de que algo iba mal fueron con los llamados 'Zoom-bombings', que provocaron que incluso el FBI emitiese una alerta. En estos casos lo que ocurre es que hackers o ciberdelincuentes son capaces de irrumpir en conversaciones o reuniones privadas de forma ilícita, lo que ha provocado situaciones estrambóticas como clases de instituto viéndose interrumpidas por una persona gritando y profiriendo insultos.

Además de eso, también se detectaron vulnerabilidades en la plataforma de Zoom en Windows y Mac, aparecieron 500.000 contraseñas de la plataforma en la dark web y algunos de las vulnerabilidades de Zoom han llegado a venderse por 500.000 dólares en los 'bajos fondos' de la red.

Recientemente se ha sabido que Dropbox patrocinó un evento de bug bounty —hackers éticos compitiendo para tratar de detectar brechas de ciberseguridad en plataformas, a cambio de recompensas— en el que Zoom participó, por estar asociada con la compañía de los archivos en la nube. Dropbox hizo saber que la bug bounty había detectado diversos errores en Zoom, pero la plataforma no los reparó instantáneamente, según denunciaron medios como el The New York Times.