¿Zoom es seguro? Cifrado, privacidad y seguridad en 2026 — un análisis honesto

Esta es una guía independiente. No está afiliada ni respaldada por Zoom Communications, Inc.

Tu departamento de TI acaba de aprobar Zoom para toda la empresa, pero una búsqueda rápida muestra titulares sobre filtraciones de datos, "Zoombombing" y demandas de privacidad. Entonces, ¿cuál es la realidad: Zoom es lo suficientemente seguro para las conversaciones confidenciales de tu equipo, o estás corriendo un riesgo cada vez que haces clic en "Unirse a la reunión"?

La respuesta corta: Zoom en marzo de 2026 es significativamente más seguro que durante el caos pandémico de 2020. La empresa agregó cifrado de extremo a extremo, renovó sus prácticas de manejo de datos y obtuvo certificaciones de cumplimiento que no existían hace cinco años. Pero "más seguro" no significa "infalible". Tus configuraciones, tus hábitos y tu plan afectan qué tan protegidas están realmente tus reuniones.

Esta guía detalla exactamente qué protege Zoom, dónde permanecen las brechas y los pasos concretos que puedes tomar. Aquí están los datos para que puedas actuar.

Cómo funciona realmente el cifrado de Zoom

Zoom cifra las reuniones, pero el tipo de cifrado importa. Entender la diferencia te ayuda a decidir si Zoom es lo suficientemente seguro para tus necesidades específicas.

Cifrado predeterminado (AES 256 bits GCM): Cada reunión de Zoom utiliza cifrado AES de 256 bits en modo Galois/Counter desde marzo de 2026. Esto significa que los datos se cifran entre tu dispositivo y los servidores de Zoom. Es el mismo estándar de cifrado que usan bancos y agencias gubernamentales. Un atacante que intercepte el flujo de datos solo verá información ilegible.

El detalle: los servidores de Zoom pueden técnicamente descifrar los datos porque tienen las claves de cifrado. Esto se llama "cifrado en tránsito". Para la mayoría de las reuniones de equipo y revisiones de proyecto, este nivel de protección es más que suficiente.

Cifrado de extremo a extremo (E2EE): Zoom introdujo E2EE opcional a finales de 2020 y lo ha expandido desde entonces. Cuando E2EE está activado, solo los participantes de la reunión tienen las claves de descifrado. Los servidores de Zoom no pueden leer el contenido. En marzo de 2026, E2EE está disponible en todos los planes de pago y en el plan gratuito para reuniones de hasta 200 participantes.

El compromiso: activar E2EE desactiva la grabación en la nube, la transcripción en vivo, las encuestas y las salas simultáneas. Estás eligiendo máxima privacidad a cambio de comodidad.

Zoom Phone y Zoom Mail: Las llamadas de Zoom Phone usan el mismo cifrado AES de 256 bits GCM. Zoom Mail (lanzado en 2023) usa E2EE por defecto para mensajes entre usuarios de Zoom Mail, con las claves almacenadas solo en los dispositivos.

Por ejemplo: tu equipo legal está revisando un documento de fusión en una llamada de Zoom. Con cifrado estándar, la llamada está protegida contra espionaje externo, pero Zoom podría teóricamente acceder a ella. Con E2EE activado, ni siquiera los empleados de Zoom pueden escuchar. Para esa revisión legal, E2EE vale la pena.

¿Qué datos recopila Zoom (y quién los ve)?

El cifrado protege los datos en tránsito. ¿Pero qué pasa con los datos que Zoom almacena en sus servidores? Aquí es donde el panorama de privacidad se complica.

Datos que Zoom recopila a marzo de 2026:

• Información de la cuenta (nombre, correo electrónico, teléfono, cargo)
• Metadatos de reuniones (fecha, hora, duración, lista de participantes, direcciones IP)
• Información del dispositivo (versión del SO, tipo de dispositivo, identificadores únicos)
• Contenido que eliges almacenar (grabaciones en la nube, mensajes de chat, pizarras)
• Datos de uso (funciones utilizadas, frecuencia, métricas de rendimiento)

Datos que Zoom dice que no vende: En su política de privacidad actualizada (revisada en enero de 2026), Zoom afirma que no vende datos personales a terceros y no usa contenido de audio, video o chat de reuniones para entrenar modelos de IA sin consentimiento del cliente.

La palabra "consentimiento" es clave. En agosto de 2023, Zoom enfrentó críticas cuando una actualización de la política de privacidad parecía otorgar a la empresa derechos para usar datos de clientes en el entrenamiento de IA. Zoom revisó la política rápidamente tras la reacción pública, agregando lenguaje explícito de consentimiento previo. En marzo de 2026, las funciones de AI Companion requieren aprobación del administrador de la cuenta antes de que cualquier dato de reunión sea procesado para resúmenes de IA.

Controles de residencia de datos: Los administradores de cuentas de pago pueden elegir en qué regiones los centros de datos procesan sus datos. Las opciones incluyen Estados Unidos, Europa, Asia Pacífico y otras regiones. Las cuentas gratuitas tienen sus datos enrutados al centro de datos más cercano.

Integraciones de terceros: El marketplace de apps de Zoom incluye cientos de integraciones. Cada app de terceros tiene su propia política de privacidad. Al instalar una app de Zoom, le estás dando al desarrollador acceso a ciertos datos de reunión. Revisa esos permisos con cuidado. Una herramienta de programación podría solicitar más datos de los que realmente necesita.

Historial de seguridad de Zoom: incidentes y soluciones

No se puede evaluar si Zoom es seguro hoy sin entender qué salió mal antes. Aquí tienes una línea de tiempo de los incidentes más relevantes y cómo respondió Zoom.

Abril de 2020: epidemia de Zoombombing. Cuando la pandemia llevó a millones a Zoom de la noche a la mañana, personas no invitadas empezaron a interrumpir reuniones con contenido ofensivo. La causa: las reuniones no tenían contraseñas ni salas de espera por defecto, y los IDs eran fáciles de adivinar. Zoom respondió activando contraseñas y salas de espera por defecto para todas las reuniones nuevas. La empresa reportó que estos cambios redujeron significativamente el acceso no autorizado.

Abril de 2020: afirmaciones engañosas sobre cifrado. Investigadores de seguridad descubrieron que Zoom promocionaba "cifrado de extremo a extremo" cuando en realidad usaba cifrado TLS estándar en tránsito. La FTC investigó, y en noviembre de 2020, Zoom llegó a un acuerdo para implementar un programa de seguridad con auditorías bienales de terceros. El E2EE real se lanzó en octubre de 2020.

Abril de 2020: datos enrutados por China. Algunas llamadas de usuarios fuera de China fueron enrutadas por centros de datos chinos. Zoom lo atribuyó a un error de capacidad durante el pico pandémico y rápidamente agregó controles de enrutamiento de datos para que los administradores pudieran elegir las regiones de procesamiento.

2020: SDK de Facebook compartiendo datos del dispositivo. La app de Zoom para iOS enviaba datos analíticos del dispositivo a Facebook incluso para usuarios sin cuenta en Facebook. Zoom eliminó el SDK de Facebook días después del reporte. El incidente llevó a una demanda colectiva que se resolvió por 85 millones de dólares en agosto de 2021.

Marzo de 2023: vulnerabilidad de Google Project Zero. Una vulnerabilidad crítica zero-click (CVE-2023-28597) permitía ejecución remota de código. Zoom lanzó un parche poco después de la divulgación responsable y actualizó automáticamente los clientes afectados.

Años recientes. La página de boletines de seguridad de Zoom muestra parches continuos de vulnerabilidades, lo cual es una práctica estándar para plataformas de software importantes. No se han reportado violaciones de datos a gran escala desde los incidentes de 2020.

El patrón es claro: el 2020 de Zoom fue caótico, impulsado por un crecimiento explosivo que superó su infraestructura de seguridad. Desde entonces, la empresa dice haber invertido fuertemente en seguridad y expandido su equipo de CISO. La pregunta no es si Zoom tuvo problemas — es si los resolvió. La evidencia indica que sí, al menos para los problemas conocidos.

¿Zoom es seguro para empresas, salud y terapia?

Diferentes industrias necesitan diferentes niveles de seguridad. Aquí está dónde se ubica Zoom en las certificaciones relevantes.

SOC 2 Type II: Zoom cuenta con un reporte SOC 2 Type II vigente, lo que significa que un auditor independiente ha verificado sus controles de seguridad durante un período sostenido. Es la certificación básica que la mayoría de las empresas exigen a proveedores SaaS.

ISO 27001: El sistema de gestión de seguridad de la información de Zoom tiene certificación ISO 27001 a marzo de 2026. Es el estándar internacional para manejar datos sensibles.

Cumplimiento HIPAA: Zoom ofrece una configuración compatible con HIPAA para proveedores de salud en planes de pago (Business y superiores). Incluye un BAA (Business Associate Agreement) firmado, grabación en la nube desactivada por defecto y disponibilidad de E2EE. Zoom afirma que miles de proveedores de salud usan la plataforma para telemedicina (consulta la página de salud de Zoom).

¿Zoom es seguro para terapia? Sí, cuando se configura correctamente. Los terapeutas necesitan un plan de pago con BAA, activar la sala de espera, desactivar la transferencia de archivos e idealmente activar E2EE. Para un tutorial detallado, consulta nuestra guía de cumplimiento HIPAA de Zoom.

RGPD: Zoom proporciona Adendas de Procesamiento de Datos (DPAs) para clientes de la UE y soporta residencia de datos en centros de datos europeos. Las Cláusulas Contractuales Estándar (SCCs) cubren las transferencias internacionales de datos.

FedRAMP: Zoom for Government tiene autorización FedRAMP Moderate, lo que significa que cumple con los estándares federales de seguridad de EE.UU. Esta versión opera en infraestructura separada del Zoom para consumidores.

Educación (FERPA/COPPA): Zoom for Education está diseñado para cumplir los requisitos FERPA y no usa datos de estudiantes para publicidad. Las escuelas deben usar cuentas Zoom for Education (no cuentas personales) para garantizar el cumplimiento.

Las organizaciones de salud deben consultar a un profesional calificado en cumplimiento HIPAA antes de depender de cualquier plataforma de video para PHI. El plan gratuito no califica para BAA, y las configuraciones predeterminadas por sí solas no cumplen los requisitos HIPAA.

8 configuraciones de seguridad de Zoom que deberías cambiar hoy

Las configuraciones predeterminadas de Zoom son razonablemente seguras, pero "razonablemente" no es suficiente para reuniones sensibles. Estos ocho cambios toman unos cinco minutos y cierran las brechas más comunes.

1. Exige códigos de acceso para reuniones. Ve a Configuración > Seguridad en el portal web de Zoom. Activa "Requerir un código de acceso al programar nuevas reuniones". Esto está activado por defecto en la mayoría de las cuentas en 2026, pero verifica que no se haya desactivado.

2. Activa la sala de espera. En Configuración > Seguridad, activa "Sala de espera". Esto obliga a cada participante a esperar la aprobación del anfitrión antes de entrar. Es la defensa más efectiva contra invitados no deseados.

3. Bloquea la reunión después de que todos entren. Cuando todos los participantes estén dentro, haz clic en Seguridad en la barra de herramientas de la reunión y selecciona "Bloquear reunión". Nadie más podrá entrar, ni siquiera con el enlace y código correctos.

4. Desactiva la transferencia de archivos en el chat. En Configuración > En la reunión (Básico), desactiva "Transferencia de archivos". Esto evita que los participantes envíen archivos potencialmente maliciosos a través del chat de Zoom.

5. Controla el uso compartido de pantalla. En Configuración > En la reunión (Básico), establece "¿Quién puede compartir?" en "Solo el anfitrión" para reuniones sensibles. Siempre puedes dar permiso a participantes específicos durante la llamada.

6. Activa E2EE para reuniones confidenciales. En Configuración > Seguridad, activa "Permitir el uso de cifrado de extremo a extremo". Luego, al configurar una reunión, selecciona "Cifrado de extremo a extremo" en la sección de Seguridad. Recuerda: esto desactiva la grabación en la nube y algunas funciones de colaboración.

7. Desactiva el ingreso antes del anfitrión. En Configuración > En la reunión (Avanzado), desactiva "Permitir a los participantes unirse antes que el anfitrión". Esto evita que los participantes estén en la sala sin la presencia del anfitrión.

8. Exige perfiles autenticados. En Configuración > Seguridad, activa "Solo usuarios autenticados pueden unirse a las reuniones". Esto requiere que los participantes inicien sesión en una cuenta Zoom, evitando el acceso anónimo.

Estas configuraciones cubren el 90% de los escenarios de seguridad que enfrenta la mayoría de los equipos. Para el 10% restante, el mayor factor de riesgo no es la tecnología de Zoom — es el comportamiento humano: compartir enlaces de reunión públicamente, reutilizar el mismo ID de reunión para todas las llamadas o hacer clic en enlaces sospechosos en el chat de Zoom.

¿Zoom es seguro contra hackers?

Ningún software es completamente seguro contra hackers — quien te diga lo contrario está vendiendo algo. La mejor pregunta es: ¿qué tan bien se defiende Zoom contra los vectores de ataque más comunes?

Credential stuffing: Los hackers usan contraseñas filtradas de otros servicios para intentar acceder a cuentas de Zoom. En abril de 2020, investigadores reportaron que grandes cantidades de credenciales de Zoom aparecieron en foros de la dark web. No provenían de una violación de Zoom — eran de usuarios que reutilizaron contraseñas. La defensa de Zoom: autenticación de dos factores (2FA), disponible en todas las cuentas desde septiembre de 2020. Si no has activado 2FA en tu cuenta de Zoom, hazlo hoy.

Zoombombing: Resuelto con códigos de acceso predeterminados, salas de espera y la opción de bloquear reuniones (detallado en la sección de configuraciones anterior).

Exploits de día cero: Zoom ejecuta un programa de recompensas por errores a través de HackerOne, recompensando a investigadores que reportan vulnerabilidades. La empresa también se asocia con firmas de seguridad para pruebas de penetración regulares.

Ataques de intermediario: El cifrado AES de 256 bits GCM protege contra la interceptación. E2EE elimina incluso el riesgo teórico de interceptación del lado de Zoom.

Ingeniería social: El eslabón más débil de cualquier cadena de seguridad. Los correos de phishing que imitan invitaciones de reunión de Zoom siguen siendo comunes. Zoom no puede evitar que un usuario haga clic en un enlace falso de "Unirse a la reunión" que lleva a una página de robo de credenciales. Entrena a tu equipo para verificar los enlaces de reunión y usar integraciones de calendario en lugar de hacer clic en enlaces de correos desconocidos.

¿Zoom es seguro contra hackers? Es tan seguro como cualquier plataforma en la nube importante cuando usas 2FA, contraseñas únicas y las configuraciones de seguridad descritas anteriormente. El mayor riesgo no es el código de Zoom — son tus hábitos con las contraseñas.

Cómo se compara la seguridad de Zoom con otras plataformas

Zoom no es la única opción de videoconferencia. Aquí está cómo su seguridad se compara con las principales alternativas en marzo de 2026.

Microsoft Teams: También usa cifrado AES de 256 bits y ofrece E2EE para llamadas individuales (extendido a llamadas grupales a finales de 2025). Teams se beneficia del ecosistema de seguridad más amplio de Microsoft, incluyendo la integración con Azure Active Directory y Microsoft Defender. Las certificaciones de cumplimiento son comparables a las de Zoom. Para organizaciones que ya usan Microsoft 365, la seguridad de Teams está estrechamente integrada con la gestión de identidad existente. Consulta nuestra guía de alternativas a Microsoft Teams.

Google Meet: Usa cifrado AES de 256 bits para todas las llamadas. Google no ofrece E2EE seleccionable por el usuario para llamadas estándar de Meet (el cifrado del lado del cliente solo está disponible en planes Workspace Enterprise Plus). Las prácticas de datos de Google se rigen por su política de privacidad más amplia, que incluye el uso de datos para la mejora del servicio.

Plataformas basadas en WebRTC (incluyendo Flat.social): Las plataformas construidas sobre WebRTC usan SRTP (Secure Real-time Transport Protocol) con intercambio de claves DTLS por defecto. El audio y video viajan de punto a punto cuando es posible, lo que significa que los datos nunca tocan un servidor central. No hay grabación en la nube porque nada se almacena del lado del servidor. Para equipos que quieren privacidad por arquitectura en lugar de privacidad por política, las plataformas WebRTC son una opción a considerar.

Ninguna plataforma es "la más segura". La seguridad depende de tu modelo de amenaza. Zoom es una opción sólida para organizaciones que necesitan certificaciones de cumplimiento, controles administrativos y funciones empresariales. Para equipos que priorizan la mínima recopilación de datos y una arquitectura punto a punto, las plataformas de reuniones espaciales ofrecen un enfoque fundamentalmente diferente.

Zoom es una marca registrada de Zoom Communications, Inc. Este artículo es una publicación independiente y no está afiliado, respaldado ni patrocinado por Zoom Communications, Inc.

Conclusión: ¿Zoom es lo suficientemente seguro para tu equipo?

Zoom en 2026 es un producto fundamentalmente diferente al que apareció en titulares de seguridad en 2020. El cifrado AES de 256 bits protege cada llamada. E2EE opcional está disponible en todos los planes. Las certificaciones SOC 2, ISO 27001, HIPAA y FedRAMP cubren las necesidades de cumplimiento de la mayoría de las organizaciones.

Pero la seguridad no es solo cuestión de la plataforma — también depende de cómo la usas. Aquí tu lista de acciones:

1. Activa la autenticación de dos factores en todas las cuentas Zoom de tu organización.
2. Activa salas de espera y códigos de acceso para todas las reuniones programadas.
3. Usa E2EE para cualquier reunión que involucre información confidencial (legal, financiera, médica, recursos humanos).
4. Revisa los permisos de apps de terceros en las integraciones del Zoom Marketplace cada trimestre.
5. Mantén Zoom actualizado a la versión más reciente en todos los dispositivos.

Estos cinco pasos te ponen por delante del 95% de los usuarios de Zoom en seguridad. Si tu modelo de amenaza exige más (manejas información clasificada, operas bajo leyes estrictas de soberanía de datos, o simplemente prefieres una plataforma que recopile menos datos por diseño), considera una alternativa basada en WebRTC donde el audio viaja punto a punto y nada se almacena en un servidor central.

Tus reuniones contienen las ideas, estrategias y conversaciones honestas de tu equipo. Merecen estar protegidas.