La aplicación de videollamadas Zoom tuvo un repentino éxito en los últimos días desde que se comenzó a implementar la cuarentena a raíz del coronavirus. Según informó la compañía, pasó de tener 10 millones de usuarios diarios a alcanzar un pico de 200 millones de videollamadas por día.
Y así como la aplicación ganó popularidad también comenzó a estar más expuesta en términos de ciberseguridad. Cada vez hay más atacantes dispuestos a encontrar formas de aprovecharse de los baches de seguridad que, según quedó al descubierto, integran esta plataforma.
Eric Yuan, CEO de Zoom, publicó un comunicado donde menciona que, a raíz de todos estos incidentes, la compañía se compromete, durante los próximos 90 días, a dedicar “los recursos necesarios para identificar, abordar y solucionar los problemas de manera proactiva. También estamos comprometidos a ser transparentes en todo este proceso”.
Aquí, un repaso de algunas vulnerabilidades que se dieron a conocer en relación a la plataforma:
1. Robo de credenciales
En Windows, se descubrió que Zoom le permitiría a un atacante robar las credenciales de acceso de los usuarios que hacen clic en un enlace para unirse a una reunión. Esto se debe a que, en este sistema operativo, Zoom es vulnerable a la inyección de ruta UNC en la función de chat. Todas las versiones para Windows hasta la 4.6.8 (19178.0323) son vulnerables.
Al enviar un mensaje de chat, las URL que se envían se convierten en hipervínculos para que otros miembros puedan hacer clic allí y abran la página en su navegador para de ese modo unirse a la reunión.
Pero al hacer esto, de manera predeterminada, Windows enviará el nombre de inicio de sesión del usuario y su hash de contraseña NTLM, que se puede descifrar utilizando diferentes herramientas con este propósito.
Además del robo de credenciales de Windows, las inyecciones UNC también se pueden usar para iniciar programas en una computadora local cuando se hace clic en el enlace.
Para evitar este tipo de ataques, los investigadores de seguridad recomiendan establecer en la configuración de Windows la restricción del tráfico NTLM a servidores remotos. Par hacerlo hay que ir al menú de Configuración de Windows, luego ingresar en Ajustes locales/ Opciones de seguridad/ Seguridad de red y seleccionar la opción “denegar todos” en la restricción de NTLM a servidores remotos.
2. Instalación de malware
También se identificaron agujeros de seguridad vinculados a macOS. En este sentido, se halló una vulnerabilidad de día cero en la cual se especifica que Zoom utiliza una técnica “sombría” para instalar la aplicación de Mac sin interacción del usuario.
Un atacante local con privilegios de usuario de bajo nivel podría inyectar al instalador de Zoom código malicioso para obtener el nivel más alto de privilegios de usuario, es decir para ser usuario root.
Esos privilegios significan que el atacante puede acceder al sistema operativo macOS, que generalmente está prohibido para la mayoría de los usuarios, lo cual facilitaría la ejecución de malware o spyware sin que el usuario lo note.
3. Hackeo de cámara y micrófono
Hay otro error también en la aplicación par MacOS, que explota una falla en cómo Zoom maneja la cámara web y el micrófono en MacOS. Zoom, como cualquier aplicación que necesita acceso a la cámara web y el micrófono, primero requiere el consentimiento del usuario.
Un atacante podría inyectar código malicioso en Zoom para engañarlo y obtener acceso a la cámara web y al micrófono sin autorización del usuario.
4. Zoom bombing o acceso sin permiso a reuniones privadas
Cada llamada de Zoom tiene un número de identificación de entre 9 y 11 dígitos. Se trata de un número generado aleatoriamente y que los participantes utilizan para obtener acceso a una reunión. Se descubrió que estas identificaciones de reuniones son fáciles de adivinar e incluso se pueden obtener por fuerza bruta, lo cual permite a cualquiera entre a las reuniones.
Este fenómeno de “Zoom bombing” se hizo conocido cuando personas sin identificar ingresaron insultando y agrediendo, a dos clases virtuales que se estaban llevando a cabo en Massachusetts, Estados Unidos. No fue el único caso de irrupción violenta a encuentros privados en Zoom.
A raíz de este incidente, Zoom ajustó las configuraciones predeterminadas para cuentas educativas la semana pasada, para que esto no ocurra. El resto de los usuarios puede protegerse de esto, ajustando la configuración de Zoom. En este sentido. hay que ir al menú de configuración y donde dice “compartir pantalla” elegir que sólo la pueda compartir el anfitrión.
Por otra parte, cabe señalar que las videollamadas de Zoom se pueden bloquear, para evitar que otras personas accedan a ella, una vez que ya se comenzó con el encuentro.Par hacerlo hay que ingresar en “Participantes”, y luego presionar la opción que dice “bloquear conferencia”.
5. Envío de información a terceros y otras formas de monitoreo
La semana pasada, Zoom actualizó su aplicación iOS para solucionar una falla que permitía el envío de datos del dispositivo a Facebook. Zoom luego tuvo que reescribir partes de su política de privacidad tras este incidente.
Varias agrupaciones vinculadas a la defensa de la privacidad de usuarios también plantearon su inquietud respecto de una función de seguimiento de asistentes que les permite a los anfitriones de la reunión rastrear si los participantes tienen su aplicación Zoom a la vista en una PC o si es simplemente está en segundo plano.
Por otra parte, un grupo de defensores de los derechos digitales también le pidió a Zoom que publicara un informe de transparencia el mes pasado, para compartir el número de solicitudes de datos de los usuarios que recibe por parte de la policía y los gobiernos. Zoom dijo en su momento que estaba considerando la solicitud, pero aún no publicó un informe de este tipo, según menciona The Verge.
6. No cuenta con cifrado de extremo a extremo en las videoconferencias
Si bien Zoom afirma en su sitio web que puede “asegurar una reunión con cifrado de extremo a extremo”, la compañía se vio obligada a admitir que en realidad esto no es así. “No es posible habilitar el cifrado E2E para las reuniones de video de Zoom”, dijo un vocero de la compañía en un comunicado enviado al sitio The Intercept, después de que la publicación revelara que Zoom en realidad está usando cifrado TLS y no de extremo a extremo.
En la práctica, eso significa que los datos se cifran entre el usuario y los servidores de Zoom. Pero el término cifrado de extremo a extremo generalmente se refiere a proteger el contenido entre los usuarios sin ningún tipo acceso de la empresa, tal como lo hacen Signal o WhatsApp. Pero Zoom no ofrece ese nivel de cifrado.
La compañía le dijo a The Intercept, que el uso de “cifrado de extremo a extremo” que se menciona en las políticas de uso hace referencia a que el contenido viaja cifrado de punto a punto dentro del entorno de Zoom, como se mencionó anteriormente. Además, el chat de texto sí es compatible con E2E. En este sentido, Zoom dijo que no tiene las claves para descifrar esos mensajes.
Algunas medidas de precaución
Por empezar es importante mantenerse informado sobre las aplicaciones que se están usando para poder tomar una decisión informada respecto de si decidirá continuar usando tal o cual servicio. A diario surgen informes alertando sobre fallas.
Luego hay que saber que muchas veces esas fallas son solucionadas por medio de actualizaciones del sistema operativo, en cuyo caso habrá que hacer la actualización correspondiente. Pero si esto no ocurre, entonces quizás haya que pensar en quitar las aplicaciones maliciosas del equipo y recurrir a otras plataformas que se consideren más seguras.
Además de esto, siempre hay que tener en cuenta a la hora de usar formas de comunicación remota algunas cuestiones básicas de seguridad como utilizar una VPN o red privada virtual que, protegen la información a través de la encriptación y establecen conexiones seguras. “Las VPNs permiten conectarse de forma segura desde todos los dispositivos, incluso cuando se accede desde puntos de acceso de WiFi públicos, una característica muy deseable para los empleadores que practican teletrabajo y no siempre saben desde dónde se conectan sus colaboradores”, destacan desde Fortinet.
La compañía de ciberseguridad también recomienda contar con filtrado de contenidos, visibilidad de las aplicaciones y configuración del tráfico, así como implementar soluciones de autenticación que garanticen que sólo los usuarios autorizados tengan acceso a la información confidencial de la compañía. Y por último destacan que se debe promover una cultura cibersegura.
“Si bien las medidas tecnológicas que se implementan ayudan a mitigar los riesgos, el principal aliado para que éstas funcionen son los colaboradores de la compañía. Es necesario capacitarlos continuamente acerca de los riesgos cibernéticos del negocio y vincularlos activamente en la protección del mismo”, subrayan desde la compañía.