Si se busca una alternativa a Zoom más privada, se puede probar con Jitsi Meet, app para videoconferencias recomendada por The Tor Project…

La pandemia del COVID-19, el nuevo coronavirus que ha forzado a decretar cuarentenas en varias partes del mundo, disparó el teletrabajo y los contactos a la distancia desde casa.

En ese escenario, aplicaciones de videoconferencia como Zoom se están usando mucho más que antes.

Dado que se está convirtiendo en lugar de trabajo y sede digital de interacción de tantas personas, a mediados de marzo de 2020 Access Now (una organización defensora de los derechos digitales) reclamó a la empresa un informe de transparencia.

Pocos días después, The Intercept (medio digital creado por Glenn Greenwald, Laura Poitras y Jeremy Scahill) publicó un artículo muy claro y necesario, donde aclara que la app Zoom NO usaba cifrado de extremo a extremo las videollamadas, por más que venda lo contrario.

Solo por esos motivos, se pasan a describir cuatro alternativas a Zoom para hacer videoconferencias y chats, por si quieres indagar un poco antes de ponerte a usar una.

Actualización – Zoom anuncia incorporación de E2EE

¿Qué alternativas a Zoom hay?

  • Jitsi Meet
  • Signal
  • Mumble
  • FaceTime
  • Skype
  • Hangouts
  • House Party
  • Microsoft Teams

¿Qué es Jitsi Meet?

Jitsi Meet es una solución de videconferencias de código abierto, 100 % gratuita y muy simple de usar, que no necesita de registros ni cuentas.

Jitsi Meet - Apps en Google Play

Una plataforma para reuniones de voz y video en línea, cuya utilización, tanto en su versión móvil como web, resulta extremadamente fácil y directa.

Cualquiera con un navegador web puede crear o sumarse a una sesión de videoconferencia en vivo, a un clic y enlace de distancia, sin necesidad de descargar nada, sin tener que crear una cuenta.

Jitsi Meet es un software gratuito para hacer conferencias de audio / video, así como para ‘compartir pantalla’ en caso de trabajos remotos en conjunto.

A diferencia de otras plataformas de videconferencias, Jitsi es compatible con WebRTC, estándar abierto para la comunicación web en tiempo real, desarrollado por la World Wide Web Consortium.

¿Cómo usar Jitsi Videconferencia Web?

Jitsi Meet permite sumarse a reuniones, para lo cual necesitas que te compartan el enlace, pero también es posible crear una reunión y luego pasar el enlace a los invitados.

Si tienes un navegador web, solo sigue estos pasos:

Paso 1- Entrar al sitio y generar la reunión

Pon un nombre al ‘meeting’ / reunión y luego botón en ‘Go’.

Paso 2- Habilitar cámaras y micrófonos.

Haz clic en ‘Allow’ para habilitar la cámara y micrófono de tu dispositivo.

Paso 3 – Comparte el enlace

Una vez habilitado el micrófono y cámara, ya entrarás a la ventana de la videoconferencia. Pulsa el ícono ‘i’ para ver la URL.

Copia y comparte el enlace de la reunión con tus invitados. Agrega también una contraseña antes de pasarlo.

Descargar Jitsi Videoconferencia – Enlace para web, app móvil e instancias disponibles

Enlace web

Crear una videconferencia con Jitsi

Versiones para app móvil

Android

App Store

F-Droid

Ubuntu y Debian

Paquetes para Ubuntu y DebianIndicaciones de configuración

URL oficial

https://meet.jitsi.org/ – Podría sobrecargarse y no funcionar.

Instancias

https://meet.mayfirst.org/ – Cooperativa sin fines de lucro de Mayfirst

https://meet.greenhost.net/ – Alojado en Países Bajos

https://framatalk.org/ – Alojado en Francia

Ver el código de JitsiMeet

Web Jitsi

Una alternativa de videoconferencia más privada

Jitsi se prefila como un proyecto comprometido con la privacidad en línea.

Por ejemplo, para el uso de activistas políticos, periodistas de investigación y personas en riesgo, que necesitan mantener una conversación audiovisual bajo protección.

Jitsi encripta las comunicaciones, ofrece en la configuración de privacidad la opción de videollamadas con contraseña y también una función de fondo borroso para tapar la suciedad del cuarto, la pared desecha y otros detalles.

The Tor Proyect, organización sin fines de lucro detrás del navegador Tor, sugiere utilizar Jitsi Meet. El 31 de marzo de 2020 escribió en su Twitter:

“Si quieres una alternativa a Zoom: prueba Jitsi Meet. Está encriptado, de código abierto y no necesita una cuenta”.

anarcat, SysAdmin de Tor Project, también incluye a Jitsi Meet entre sus sugerencias de herramientas más privadas para trabajar en forma remota.

Jitsi video conferencing - open source and privacy enhancing

Si bien Jitsi Meet utiliza mecanismos de encriptación, las videollamadas no están protegidas con cifrado de extremo a extremo.

App de mensajería con cifrado de extremo a extremo ideal para comunicaciones confidenciales, ampliamente elogiada por expertos en seguridad y privacidad.

Sin mentiras ni verdades disfrazadas, la página de Jitsi en GitHub explica:

“WebRTC no proporciona (todavía) una forma de llevar a cabo conversaciones multipartitas con cifrado de extremo a extremo. A menos que compare constantemente las huellas digitales de DTLS con sus pares, lo mismo ocurre con las llamadas uno a uno. Como resultado, su transmisión se encripta en la red pero se desencripta en la máquina que aloja el puente cuando se usa Jitsi Meet”.

Leer: Is Jitsi Meet end-to-end encrypted? – GitHub de Jitsi

Aplicaciones que realmente incorporan cifrado de extremo a extremo son, por ejemplo, Signal y FaceTime.

Ver: ¿Qué es el cifrado de extremo a extremo? – Concepto, utilidad y límites

¿Quién creó Jitsi Videoconferencia?

Jitsi Meet forma parte de Jitsi (antes conocido como SIP Comunicator), actualmente un ecosistema de proyectos de código abierto que permiten crear e implementar soluciones de videconferencia en Internet.

Jitsi Meet

Jitsi es un desarrollo del francés Emil Ivov, iniciado en 2003.

En los primeros años, la iniciativa pertenecía a la compañía creada por Ivov Blue Jimp, luego comprada por la empresa de software australiana Atlassian. En 2018 Jisti fue adquirida por 8X8.

Jitsi nació como una plataforma de chat de audio y video con soporte para los protocolos SIP, XMPP/Jabber, AIM/ICQ e IRC.

Jitsi Meet, en particular, se presentó en 2014 como una solución de conferencia por Internet, basada en un prototipo de Philipp Hancke, quien luego cedió su obra a la comunidad para que el desarrollo siga en manos colectivas.

Hoy Jitsi se compone de una comunidad de desarrolladores, especializados desde hace más de una década en el diseño de vías de comunicación a través de audio y video.

Además de Jitsi Meet, cuentan con múltiples proyectos, como ser Jitsi Videobridge, una iniciativa de código abierto y compatible con WebRTC, creada por y para desarrolladores, que permite ejecutar miles de transmisiones de video desde un único servidor.

Otras alternativas a Zoom más privadas

Además de Jitsi Meet, podrían mencionarse estas y otras aplicaciones de chat y videconferencias con mayores condiciones de privacidad:

  • Signal
  • FaceTime
  • Mumble

Signal

App desarrollada por Open Whisper Systems, Signal cifra de extremo a extremo todos los mensajes y llamadas.

Signal Mac Desktop App Stores Messages Indefinitely on ...

Los mensajes y conversaciones están cifrados entre usuarios, Signal no tiene las claves de cifrado necesarias para descifrar esos mensajes, con lo cual no puede ver el contenido no cifrado.

Conocida por ser la aplicación de mensajería instantánea usada por hackers, informáticos y periodistas, Signal es un software gratuito de código abierto, con versiones para Android e iOS.

También para escritorio, pero sin opción de videochat.

Esta imagen tiene un atributo alt vacío; el nombre del archivo es nietzche-a6b8adb06a0a5453d1d472027257a24d99e996b09c068afe2cc17bf1a21f742e.png

Una buena alternativa a WhatsApp (comprada hace años por Facebook), que permite enviar mensajes, llamadas de voz y video, todo encriptado de extremo a extremo.

Aplicación elogiada por el criptógrafo Matt Green, el informático y defensor de la privacidad Edward Snowden, el técnico en seguridad Bruce Schneier y la periodista Laura Poitras, entre otros.

Bajar Signal:

 Android

 iPhone

 Desktop

Ver: Apps de mensajería instantánea más privadas y seguras

FaceTime

También implementa cifrado de extremo a extremo, pero tiene la contra de que está solo disponible en dispositivos Apple.

Archivo:FaceTime (macOS).svg - Wikipedia, la enciclopedia libre

Patrick Wardle, ex hacker de la NSA, investigador de seguridad de Jamf y fundador de Objective-See, dijo a Mashable que FaceTime es una alternativa a Zoom más privada:

“Para uso personal, recomendaría FaceTime, ya que Apple tiene un gran historial en hacer de la privacidad del usuario una prioridad y cosas como el cifrado de extremo a extremo también son una ventaja”.

Patrick Wardle

FaceTime está disponible solo para dispositivos iOS o dispositivos macOS.

Mumble

Servicio de conferencias por audio, tal como Discord, aunque desarrollado con software gratuito.

Mumble es ideal para hacer conferencias con mucha cantidad de gente, si bien su configuración resulta más compleja.

Se considera una opción más eficiente en términos de ancho de banda y latencia, por lo que se usa mucho para hablar y jugar al mismo tiempo.

Mumble es una aplicación de chat de voz gratis y de código abierto, diseñada especialmente para los jugadores en línea, aunque hoy se usa en variados entornos.

Las comunicaciones se encuentran encriptadas para dar mayor privacidad al usuario, utilizando la autentificación de clave pública / clave privada por defecto.

Bajar Mumble

Web

mumble.mayfirst.org – instancia alojada en Nueva York

¿Desventajas de Zoom?

Zoom es una app de videoconferencias muy popular, confiable y simple de usar.

Pero más allá de su usabilidad y fama mundial, cabe decir que ha sido recientemente cuestionada.

Se ha criticado su falta de transparencia y sus falsas promesas de E2E (cifrado de extremo a extremo). También se detectaron ciertas vulnerabilidades de seguridad, aparentemente ya resueltas.

NO, Zoom no usaba cifrado E2E

A fines de marzo de 2020 un artículo de The Intercept cuestionó el “marketing engañoso” de Zoom, al afirmar que implementa un cifrado de extremo a extremo para conferencias de audio y video, cuando en realidad no lo hace.

El cifrado de extremo a extremo (E2E / End-to-end encryption) es una de las formas más privadas de comunicación en Internet, gracias a su capacidad real para resguardar las conversaciones frente a ojos de cualquier tercero.

Archivo:Cifrado de WhatsApp.png - Wikipedia, la enciclopedia libre
WhatsApp cuenta con cifrado de extremo a extremo, basado en el código de Signal.

Signal y FaceTime, por ejemplo, incorporan cifrado de extremo a extremo. Pero Zoom no, aunque sí cuenta con encriptación de transporte (‘transport encryption‘).

En el white paper de Zoom se sostiene que la app permite “habilitar una reunión cifrada de extremo a extremo (E2E)”. Algo similar afirma en el apartado ‘Seguridad’ de su sitio web:

The Intercept consultó a Zoom al respecto de estas afirmaciones y un portavoz de la empresa reconoció:

“Actualmente, no es posible habilitar el cifrado E2E para las videoconferencias de Zoom. Las reuniones de video con zoom utilizan una combinación de TCP y UDP. Las conexiones TCP se realizan mediante TLS y las conexiones UDP se cifran con AES mediante una clave negociada a través de una conexión TLS “.

Portavoz de Zoom

Es decir, las reuniones en línea están protegidas con el cifrado TLS (Transport Layer Security), la misma tecnología que usan los servidores web para proteger los sitios web HTTPS.

Esto se conoce como cifrado de transporte. A grandes rasgos, implica que la conexión entre la app Zoom ejecutada en una PC / móvil y el servidor de Zoom está encriptada, tal como la conexión entre un navegador web y un contenido web determinado.

Si alguien quiere espiar por medio de WI-FI, el cifrado de transporte lo mantiene privado, pero no lo protege de la propia empresa Zoom.

Si así lo quiere, Zoom sí puede acceder al contenido no cifrado de las videoconferencias.

El cifrado de transporte es diferente al cifrado de extremo a extremo.

Una reunión de Zoom encriptada de extremo a extremo implicaría que el contenido de video y audio se encuentre cifrado de tal modo que solo los participantes puedan descifrarlo.

En tal escenario, Zoom -u otro servicio-no tendría las claves de cifrado necesarias para descifrarlo, solo en manos de las partes involucradas en la comunicación.

Aunque quisiera, si las videoconferencias estuvieran cifradas de extremo a extremo, Zoom no tendría la capacidad técnica de acceder a ellas.

El criptógrafo y docente de computación en la Universidad Johns Hopkins, Mattheew Green, comentó a The Intercept que el cifrado de extremo a extremo es difícil de implementar en las videoconferencias grupales.

Zoom sí incorpora cifrado E2E en su chat de texto, almacenando las claves en los dispositivos locales, con lo cual Zoom no tiene acceso a ellas y no podría descifrar su contenido.

Ver: ¿Qué es la criptografía en términos simples?

ACTUALIZACIÓN OCTUBRE 2020 – Zoom anuncia incorporación de E2EE

El 14 de octubre de 2020 Zoom anunció el lanzamiento de la opción de cifrado de extremo a extremo (E2EE).

Según el comunicado de la empresa, los usuarios de Zoom, tanto gratuitos como de pago, podrán albergar hasta 200 participantes en reuniones de Zoom protegidas con E2EE.

zoom e2ee

Antes, en las sesiones de Zoom eran los servidores de Zoom los encargados de generar y administrar las claves de cifrado para luego distribuirlas a los usuarios de cada reunión.

Ahora, con la incorporación de E2EE en Zoom, es el anfitrión de la reunión quien genera claves de cifrado y se usa criptografía de clave pública para distribuir estas claves a los demás participantes.

Es decir, los servidores de Zoom no deberían poder ver las claves de cifrado necesarias para descifrar el contenido de la reunión.

Por el contrario, las claves de cada reunión de Zoom son generadas por las propias máquinas de los participantes, tal como se generan y gestionan las claves en otras aplicaciones de mensajería que tienen cifrado de extremo a extremo.

Para hacer uso de esta capa de protección, los clientes deben habilitar las reuniones con la opción de E2EE.

Los anfitriones pueden habilitar E2EE a nivel de cuenta, grupo y usuario.

Por su parte, los participantes deben también tener habilitada la configuración para unirse a una reunión E2EE.

Si la sesión está protegida con E2EE, los participantes verán un logotipo de escudo verde en la esquina superior izquierda de la pantalla con un candado en el medio.

Sin embargo, la empresa advierte que por el momento al activar el E2EE para las sesiones de Zoom se desactivarán ciertas funciones, como ser la grabación en la nube, transcripción en vivo, salas de reuniones, unirse antes del anfitrión, chat privado, etc.

No publican informe de transparencia

El 18 de marzo de 2020, el grupo de derechos humanos Access Now publicó una carta abierta solicitando a Zoom la publicación de informes periódicos de transparencia.

Básicamente, se busca saber:

  • ¿Qué hace la empresa para proteger a sus usuarios?.
  • ¿Cómo responde a las solicitudes de datos de terceros?.

Zoom ve en nuestras habitaciones, oficinas y salas de estar. Son los medios a través de los cuales trabajamos, aprendemos y nos mantenemos conectados con nuestros seres queridos. Por lo tanto, tienen el deber de garantizar que respetan nuestros derechos humanos mientras tratamos de mantener la vida cotidiana en medio de esta crisis de salud pública “.

En el marco de la crisis sanitaria actual causada por el COVID-19, la demanda de servicios como Zoom se ha disparado. Esto la convierte en un entorno jugoso para hackers y terceros.

La declaración oficial de Zoom, publicada por The Intercept, dice que la empresa solo recopila datos necesarios para proveer el servicio, como ser la dirección IP, detalles de dispositivos y sistemas operativos usados.

Vulnerabilidades de seguridad en Zoom

A fines de enero de 2020, la compañía de ciberseguridad Check Point Research reportó fallas de seguridad en Zoom, según informó The Verge.

Los investigadores encontraron una debilidad que podría haber habilitado a los hackers unirse a una reunión de video, sin invitación y sin darse cuenta el usuario.

Además, el informe resalta los riesgos de las aplicaciones que necesitan acceder a cámaras y micrófonos.

Check Point reveló su hallazgo a Zoom, que pronto respondió al problema.

A fines de marzo de 2020, Bleeping Computer informó que el investigador de seguridad Matthew Hickey detectó una vulnerabilidad en Zoom que permite a un atacante extraer las contraseñas de inicio de Windows de otros usuarios.

El pasado año el investigador de seguridad Jonathan Leitschuh reveló una vulnerabilidad usando Zoom en Mac, que podría haber posibilitado el secuestro de la cámara del usuario.

La empresa debió dejar de usar el servidor web local que creó esa vulnerabilidad.

El martes 31 de marzo de 2020 el ex hacker de la NSA, Patrick Wardle, alertó en su blog por dos fallas de seguridad que podrían afectar a los usuarios de Zoom en Mac.

Contundente, Wardle escribió:

“Si te preocupa tu seguridad y privacidad, quizás dejes de usar Zoom”.

Leer informe completo (para entendidos):

‘The ‘S’ in Zoom, Stands for Securityuncovering (local) security flaws in Zoom’s latest macOS client’ – Patrick Wardle

Vergonzosa falta de respeto a la privacidad

Hace poco, Motherboard / Vice reveló que la app Zoom de iOS enviaba datos de usuarios a Facebookincluso si no tiene una cuenta de Facebook”.

Zoom pronto solucionó el problema, aunque especialistas de seguridad criticaron que dicho código irresponsable no debería haberse ni siquiera incluido.

Crítica a seguridad de Jitsi

A pesar de que algunos consideran a Jitsi Meet como una alternativa a Zoom más privada, otros cuestionan sus condiciones de seguridad.

Dan Tentler, fundador de la empresa de seguridad Phobos Group, dijo a Mashable:

“He hablado con un número alarmante de personas que dicen que son ‘ingenieros de privacidad’ o ‘personas de privacidad’ que no saben lo primero sobre seguridad, y no entienden que sin seguridad no se puede tener privacidad. Después de mirar literalmente a [Jitsi] durante 30 segundos, los estoy clasificando de esta manera”.

Por su parte, Jitsi indica que se toma muy en serio la seguridad y protección de sus usuarios, solicitando:

“Si encuentra (o simplemente sospecha) un problema de seguridad en cualquiera de los proyectos de Jitsi, envíenos un correo electrónico a security@jitsi.org”.

¿Cuáles son las app de videoconferencia más populares?

Entre otras, las plataformas de videoconferencia más usadas en la actualidad incluyen a:

  • Skype
  • Zoom
  • Google Hangouts
  • FaceTime
  • HouseParty
  • Microsoft Teams

Según un reporte de Priori Data y Statista, las descargas globales de Skype, Houseparty y Zoom aumentaron en más de un 100 % en marzo de 2020.

Cantidad de descargas Zoom vs Skype

Skype – 59 millones de usuarios activos diarios

Zoom – 4,3 millones de usuarios

Tal como apunta Statista, la comparación Zoom vs Skype en términos de números no resulta muy justa, dado que Skype se utiliza para otras vías de comunicación -por ejemplo, chat-, mientras que Zoom se ha especializado en videoconferencias.

Priori Data y Statista

Solo en marzo Zoom se descargó 27 millones de veces, mientras que en enero 2,1 millones de veces.

Ver: Protectores de la privacidad en línea