Dima Kagan , Galit Fuhrmann Alpert , and Michael Fire. Zooming Into Video Conferencing Privacy and Security Threats. ArXiv, 2020

Texto completo

Dado que el distanciamiento social y la cuarentena en el lugar motivados por la pandemia hacen imposibles las reuniones físicas, cientos de millones de personas de todo el mundo han recurrido a las plataformas de videoconferencia como sustituto. (En abril, los equipos de Microsoft, Zoom y Google Meet superaron los 75, 300 y 100 millones de usuarios respectivamente). Pero a medida que las plataformas se utilizan ampliamente, están surgiendo fallos de seguridad, algunos de los cuales permiten a los actores malintencionados «espiar» las reuniones.

Es relativamente fácil extraer información personal, incluyendo imágenes de rostros, edad, sexo y nombres de las capturas de pantalla públicas de las reuniones de video, según los investigadores de la Universidad Ben-Gurion. Los coautores de un estudio recientemente publicado dicen que una combinación de procesamiento de imágenes, reconocimiento de texto y análisis forense les permitió cruzar los datos del Zoom con los de las redes sociales, demostrando que los participantes en las reuniones podrían estar sujetos a riesgos de los que no son conscientes.

En el estudio los investigadores primero curaron un conjunto de datos de imágenes que contenían capturas de pantalla de miles de reuniones utilizando Twitter y los web scrapers de Instagram, que configuraron para buscar términos y hashtags como “Zoom school” y “#zoom-meeting.”. Filtraron los duplicados y los posts que carecían de imágenes y usaron un algoritmo para identificar los collages de Zoom, con un total de 15.706 capturas de pantalla de reuniones. Luego realizaron un análisis de cada captura de pantalla de Zoom comenzando con la detección facial. Utilizando una combinación de modelos preentrenados de código abierto y la API Azure Face de Microsoft, dicen que fueron capaces de detectar rostros en las imágenes con una precisión del 80%; detectar el género; y estimar la edad (por ejemplo, «niño», «adolescente» y «adulto mayor»). Además, afirman que una biblioteca de reconocimiento de texto de libre acceso les permitió extraer el 63,4% de los nombres de usuario de las capturas de pantalla correctamente.

Las referencias cruzadas de 85.000 nombres y más de 140.000 rostros arrojaron 1.153 personas que probablemente aparecieron en más de una reunión, así como redes de usuarios de Zoom en las que todos los participantes eran compañeros de trabajo. Según los investigadores, esto ilustra que no sólo que la privacidad de los individuos está en riesgo por los datos expuestos en las reuniones de videoconferencia, sino también la privacidad y la seguridad de las organizaciones.

«Demostramos que es posible utilizar los datos recogidos en las reuniones de videoconferencia junto con los datos vinculados recogidos en otras videoconferencias con otros grupos, como las redes sociales en línea, a fin de realizar un ataque de vinculación contra los individuos objetivo», escribieron. «Esto puede poner en peligro la privacidad del individuo objetivo al utilizar diferentes reuniones para descubrir diferentes tipos de conexiones».

Para mitigar los riesgos de la privacidad, los investigadores recomiendan a los participantes en la videoconferencia que elijan pseudónimos y fondos genéricos. También sugieren que las organizaciones informen a los empleados de los riesgos sobre la privacidad de las videoconferencias y que los operadores de videoconferencias como Zoom añadan modos de «privacidad» que impidan el reconocimiento facial, como los filtros de ruido gaussianos.

«En la actual realidad global de distanciamiento social, debemos ser sensibles a las cuestiones de privacidad en línea que acompañan a los cambios en nuestro estilo de vida a medida que la sociedad se ve empujada hacia un mundo más virtual», añadieron los coautores.

No es la primera vez que las plataformas de videoconferencia se ven afectadas por problemas de privacidad. A principios de abril, Zoom esbozó un plan de 90 días durante los cuales congelaría las nuevas características para centrarse en la seguridad, alentada por incidentes de alto perfil. Y Microsoft corrigió un error que hizo posible que los atacantes robaran los datos de las cuentas de los equipos.