Zoombombing (de Zoom y bombing o bomdardeo)[1] es una intrusión indeseada y perturbadora, generalmente por troles y hackers de Internet, en una videoconferencia. En un incidente típico de zoombombing, una sesión de teleconferencia es secuestrada por la inserción de material de naturaleza lasciva, obscena, racista o antisemita, que suele derivar en el cierre de la sesión. El término se asocia y deriva del nombre del programa informático de videoconferencia Zoom, pero también se ha utilizado para referirse al fenómeno en otras plataformas de videoconferencia. El término se popularizó en 2020, después de que la pandemia de COVID-19 obligara a muchas personas a quedarse recluidas en sus hogares y la videoconferencia se utiliza a gran escala en empresas, escuelas y grupos sociales.
El zoombombing ha causado problemas importantes, en particular en escuelas, empresas y organizaciones de todo el mundo. Esos incidentes han dado lugar a un mayor escrutinio del Zoom, así como a restricciones en el uso de la plataforma por parte de instituciones educativas, empresariales y gubernamentales de todo el mundo. En respuesta, Zoom, citando la repentina afluencia de nuevos usuarios debido a la pandemia de COVID-19, ha estado tomando medidas para aumentar la seguridad de su aplicación de teleconferencias. Los incidentes de zoombombing han impulsado a las autoridades locales y federales de varios países a investigar esos casos y a presentar cargos penales contra los responsables.
El término "Zoombombing" está derivado de la aplicación de teleconferencia Zoom, aunque dicho término también ha sido utilizado en referencia a incidentes similares en otras plataformas de teleconferencia, como WebEx o Skype.[2][3] El uso aumentado de Zoom durante el la pandemia de COVID-19 como alternativa a las reuniones presenciales resultaron en una exposición a hackers y troles de internet, quiénes burlan las características de seguridad de la aplicación. En varios foros como Discord y Reddit, los esfuerzos han sido coordinados para interrumpir sesiones de Zoom, mientras cuentas de Twitter anuncian contraseñas para sesiones que eran vulnerables a ser unidos sin autorización.[4] En instituciones educativas, algunos estudiantes estaban "pidiendo activamente a extraños que 'bombardearan' o hicieran una 'Zoom raid' en sus aulas virtuales para hacer más emocionantes sus lecciones" y facilitando las intromisiones compartiendo contraseñas con los raiders.[5] CNET señaló que símples búsquedas en Google, que busca URLs incluyendo el dominio "Zoom.us" podría arrojar conferencias que no hayan sido protegidas con contraseña, y que los enlaces dentro de páginas públicas pueden dejar a cualquiera unirse.[6] Los hackers y trolls también buscan objetivos fáciles como reuniones de "registro" desprotegidas en las que las organizaciones se reúnen con sus empleadores o clientes a distancia.[7]
Mientras una sesión de Zoom es en progreso, usuarios desconocidos por el administrador ingresan y secuestran la sesión para decir o mostrar cosas de carácter lascivo, obscenas, racistas, o antisemiticas en naturaleza. La sesión comprometida de Zoom es entonces típicamente cerrado por el anfitrión de reunión.[2][8] Aquellos que tienen éxito en interrumpir sesiones, suelen cargar las imágenes o los vídeos de dichos incidentes en plataformas como TikTok y YouTube.[9]
El zoombombing ha causado un número de problemas para escuelas y educadores, con participantes indeseados mostrando contenido lascivo para interrumpir las sesiones.[8][10][11] Algunas escuelas tuvieron que suspender el método por videoconferencias.[12] La Universidad de California Del sur llamó zoombombing un tipo de troleo y se disculpó por los viles "acontecimientos" que interrumpieron sus "clases"[13] El zoombombing incitó a universidades a publicar guías y recursos para educar y hacer conciencia en su alumnado y personal sobre el fenómeno.[14] El zoombombing ha dejado las conferencias on-line vulnerables a la intrusión de las personas buscan causar daño. Estos delitos han traído atención no sólo a la carencia de seguridad en plataformas de videoconferencia, sino también a la carencia en las universidades. De acuerdo a The Guardian, la Universidad de Warwick, durante un escándalo, recibió críticas para su débiles sistemas de ciberseguridad.[15]
El problema alcanzó tal prominencia que la Oficina Federal de Investigaciones de los Estados Unidos (FBI) advirtió sobre las videoconferencias y los secuestros de aulas en línea, a los que llamó "zoombombing".[16][17] El FBI aconsejó a los usuarios de programas de teleconferencia que mantuvieran las reuniones en privado, que requirieran contraseñas u otras formas de control de acceso, como "salas de espera" para limitar el acceso sólo a determinadas personas, y que limitaran el acceso a la pantalla compartida sólo al anfitrión de la reunión. Dado el número de incidentes de zoombombing, el general de abogado de Nueva York inició una investigación a la intimidad de Zoom y sus políticas de seguridad.[18] Senador de EE. UU. Sherrod Brown preguntó la Comisión de Comercio Federal para investigar al asunto, acusando a Zoom de estar metido en prácticas engañosas con la intimidad de usuario y seguridad.[19]
En medio de la preocupación por el zoombombing, varias organizaciones prohibieron el uso de Zoom. En abril del 2020, Google prohibió el uso de Zoom en sus computadoras corporativas, dirigiendo a los empleados a usar en su lugar su aplicación de video chat Google Duo. El uso de Zoom también fue prohibido por SpaceX, Smart Communications, la NASA y la Fuerza de Defensa de Australia.[20] Los gobiernos de Taiwán y Canadá prohibieron Zoom para todo uso gubernamental.[21] El Departamento de Educación de la ciudad de Nueva York prohibió a todos sus profesores el uso de la plataforma con estudiantes, y el Distrito Escolar del Condado de Clark en Nevada impidió el acceso a Zoom a su personal.[22] El Ministerio de Educación de Singapur prohibió brevemente a todos los maestros del país utilizar Zoom antes de levantar la prohibición tres días después, añadiendo características de seguridad adicionales.[23][24][25] Algunos zoombombers sostienen otra versión, afirmando que la intención no es de causar daño. Afirman que es una forma de protesta en respuesta a la gran cantidad de trabajo dado por los profesores. No todos los incidentes tienen contenido maliciosos, ya que existen casos en que se comparten contenido como memes y videos de TikTok, para "traer algo de alivio y diversión durante la pandemia".[1]
El director general de Zoom, Eric Yuan, se disculpó públicamente, diciendo que la empresa de teleconferencias no había previsto la repentina afluencia de nuevos usuarios consumidores y afirmando que ello era "error y una lección aprendida".[26][27] En respuesta a las preocupaciones, Zoom ha publicado una guía en su blog sobre cómo evitar este tipo de incidentes.[28] El 7 de abril de 2020, Zoom implementó actualizaciones de experiencia de usuario y de seguridad en la aplicación. Tales actualizaciones incluyen un icono de "Seguridad" más visible para que los usuarios lo vean y lo usen, la supresión de los números de identificación de las reuniones, y un cambio en la configuración por defecto para requerir contraseñas y salas de espera para las sesiones.[29] El 8 de abril de 2020, Zoom anunció que había formado un consejo de jefes de seguridad de la información de otras empresas para compartir ideas sobre las mejores prácticas, y que había contratado a Alex Stamos, exjefe de seguridad de Facebook, como asesor.[30] Zoom lanzó su versión 5.0 en abril de 2020 con características de seguridad que incluyen encriptación AES GCM de 256 bits, contraseñas por defecto y una característica para reportar usuarios sospechosos a su Equipo de Confianza y Seguridad por posible mal uso.[31][32] En mayo de 2020, Zoom anunció que había desactivado temporalmente su integración a Giphy (frecuentemente utilizada como táctica en el zoombo) hasta que se pudieran abordar de forma adecuada y completa los problemas de seguridad.[33]
Las autoridades nacionales de Estados Unidos advirtieron sobre posibles cargo contra las personas que realicen dicha actividad. El 8 de abril del 2020, un adolescente en Madison, Connecticut, fue arrestado por cargos de delito informático, conspiración, y perturbación de la paz, relacionados con eventos con clases en línea en el Instituto Daniel Hand; asimismo, la policía también identificó a otro adolescente implicado en el incidente.[34] En San Francisco, un hombre fue arrestado después de ser localizado por stremear videos pornográficos en Zoom.[35] En mayo del 2020, el FBI ha recibido denuncias de 195 incidentes de zombombing implicando abuso de niño, mientras la agencia de Delito Nacional del Reino Unido ha informado más de 120 casos.[36][37]
La iglesia St. Paulus Lutheran en San Francisco entabló una demanda en contra de Zoom después de que una de sus clases de estudio de la biblia fue "zoombombardeado" el 6 de mayo del 2020.[38] La iglesia alegó que Zoom "no hizo nada" cuando ellos intentaron contactar a la compañía.[39]