Zoom, una de las aplicaciones de videollamadas de moda, presenta graves fallos de seguridad
De repente, el mundo conocido cambió. La normalidad se transformó en una nueva dimensión global en donde el teletrabajo y el aislamiento social se han instaurado en la vida de millones de personas. En medio de esta crisis sanitaria sin precedentes se ha erigido en las últimas semanas una serie de herramientas de comunicación digital que intentan paliar los efectos del confinamiento.
El tráfico de las aplicaciones de videollamadas se ha disparado. Y, entre ellas, Zoom, una de las que se ha puesto de moda que, sin embargo, presenta graves fallos de seguridad calificados.
La herramienta, creada en 2011 por una empresa estadounidense fundada por Eric Yuan, ha aumentado su relevancia por culpa del coronavirus Covid-19, pero en las últimas semanas se han aireado algunas debilidades a nivel técnico que, según expertos en seguridad informática, puede poner en compromiso los datos personales de sus usuarios. Una de ellas, aunque admitida y corregida, fue el descubrimiento de que enviaba información personal a la red social Facebook.
Entre los datos que se envían se encontraba la información de navegación del usuario en el servicio: cuándo se abre la aplicación, detalles del dispositivo, ubicación, compañía telefónica y un identificar publicitario único utilizado para la publicidad dirigida.
Vulnerable a enlaces que exponen las contraseñas Bajo el escrutinio de las autoridades y expertos del sector, los problemas en seguridad se le acumulan. Ahora, fuentes del medio especializado «Bleeping Computer» han asegurado que Zoom puede estar filtrando datos (usuario y contraseña) de inicio de sesión en el sistema operativo para ordenadores Windows a ciberatacantes.
Esta vulnerabilidad afecta a su servicio de chat integrado dentro de la plataforma. No tiene bien configurado el protocolo de las rutas de acceso UNC para la localización de archivos dentro de una red de equipos informáticos, denominadas en el argot informático como rutas absolutas.
Es decir, por regla general los servicios digitales convierte en hipervínculos (pinchables) cuando se escribe una dirección web, permitiendo a los usuarios acceder a través de un navegador.
En este caso, el cliente web para videollamadas permite que este de tipo rutas de acceso UNC funcione a modo de enlace. En las imágenes de demostración se aprecia cómo una URL normal y la ruta UNC \\evil.server.com\images\cat.jpg se convirtieron en un enlace en el que hacer clic en el mensaje de chat.
Esta brecha, de esta manera, podría derivar en que una persona ajena a la organización y con los conocimientos adecuados pudieran robar las credenciales del usuario dentro de una red local de una empresa.
En conversación telefónica con ABC, Luis Corrons, evangelista de seguridad en la firma de seguridad Avast en España, considera que un ciberataque aprovechando esta vulnerabilidad «no es tan sencillo» y presenta un «riesgo limitado», aunque lo califica de «muy peligroso» en caso de llevarse a cabo.
Este experto recuerda que la aplicación «siempre ha estado más orientada a una perspectiva profesional» pero el hecho que haya dado un salto para un entorno lúdico ha puesto en evidencia «ciertos riesgos».
Y da con un ejemplo práctico para entenderlo: «Si tienes correo en Hotmail o Gmail -los más extendidos- no vas a ver al resto de usuarios, pero ¿qué pasa si hay un dominio genérico que Zoom no conoce? Es posible que lo considere como una empresa y que todos los contactos pudieran aparecer en el directorio de mis contactos», apunta.
«Es un ataque muy limitado pero puede ser muy peligro. No es el típico ataque masivo sino que debe producirse un ataque teledirigido a determinada persona para robarle las contraseñas. La solución es sencilla; lo único que tiene que hacer Zoom es no dar la opción al usuario de abrir enlaces en ordenadores remotos», sostiene.
otros expertos han descubierto otras vulnerabilidades sobre Zoom que afecta a su sistema de seguridad para las videollamadas, las cuales no vienen por defecto bajo un sistema de cifrado de «extremo a extremo», según informan desde «The Interceptr».
De tal manera que la compañía propietaria del servicio podría llegar a acceder a las comunicaciones de sus usuarios a diferencia de otros servicios de comunicación como WhatsApp o Telegram. Porno en las conferencias públicas Para colmo, se ha descubierto en las últimas semanas otro problema adicional; desde la herramienta de comunicaciones públicas (Zoom Public) se han producido casos de invación de privacidad, llevando incluso a retransmistirse contenidos pornográficos sobre conversaciones en empresas, según aducen desde «The Guardian».
Los llamados «trolls» -usuarios que publican mensajes provocadores y fuera del tema principal- se han colado en estas videoconferencias. Ya los han bautizado como «zoombombers».
Aprovechando la alta demanda del servicio durante la pandemia, han sido capaces de acceder a estas reuniones públicas para transmitir imágenes explícitas o acosara otros usuarios.