A la luz de la reciente pandemia de coronavirus, muchas personas se han visto obligadas a trabajar desde casa. Cuando se trata de reuniones interpersonales, las empresas han tenido que encontrar una solución que les permita realizar teleconferencias a bajo costo. Zoom fue una solución adoptada y recomendada en todo el mundo, hasta el punto en que Zoom se usa tanto para negocios como para educación.

Desafortunadamente, Zoom no es muy seguro. Los investigadores de seguridad lo han demostrado a través de Desarrollar una herramienta que pueda recopilar información de las reuniones de Zoom..

¿Para qué se utiliza el instrumento?

Cuando alguien crea una nueva reunión de Zoom, se le asigna una identificación única. Luego, el anfitrión puede compartir esta identificación con las personas con las que desea reunirse. Luego, los participantes ingresan su identificación desde el costado para ingresar a la sala.

Los investigadores de seguridad han desarrollado zWarDial, una herramienta que analiza estos identificadores en busca de información. La herramienta logró encontrar un ID de reunión legítimo el 14% del tiempo, lo cual es bastante impresionante considerando que los ID de Zoom tienen entre nueve y once dígitos.

La herramienta encontró alrededor de 100 citas por hora que no tenían un bloqueo de contraseña. A partir de estas reuniones, la herramienta podría recopilar información sobre ellas. Esta información incluye quién inició la reunión y quién fue el tema de la reunión.

¿Por qué es esto malo?

Esta falla es mala por dos razones: bombardeo de zoom y espionaje.

El bombardeo de Zoom ocurre cuando una persona o un grupo ataca una reunión de Zoom abierta. Los bombarderos de Zoom a menudo gritan comentarios obscenos a los participantes y muestran imágenes ofensivas a través de la función de compartir pantalla de Zoom.

Debido a que esta herramienta encuentra específicamente contraseñas que no tienen contraseña, Zoom Bombers puede tomar la identificación de la herramienta y usarla para invadir la reunión sin ser detenida.

Sin embargo, no todo el mundo tiene miedo de causar problemas. Utilizando los detalles del anfitrión y el tema de la reunión, los agentes malintencionados pueden recopilar filtraciones de información de la empresa que organiza la reunión. Si el agente quiere saber más, puede intentar colarse en la reunión desprotegida para obtener más información.

Añadiendo seguridad a las reuniones

Afortunadamente, la herramienta fue creada por un investigador de seguridad llamado Trent Lo. Como tal, si bien esta falla es bastante aterradora, fue descubierta por alguien que desea mostrar y alertar a otros sobre el problema, en lugar de aprovecharlo.

Lo continuó diciendo que debido a que la herramienta solo podía recopilar información de reuniones que no estaban protegidas con contraseña, la mejor manera de vencer el ataque era ingresar una contraseña en cada llamada de conferencia. Esto impidió que zWarDial obtuviera detalles.

En respuesta al desarrollo de zWarDial, Zoom declaró lo siguiente:

Zoom recomienda encarecidamente a los usuarios que implementen contraseñas para todas sus reuniones para garantizar que los usuarios no invitados no puedan registrarse.

«Las contraseñas para nuevas reuniones se han habilitado de forma predeterminada desde finales del año pasado, a menos que los propietarios o administradores de cuentas hayan renunciado. Estamos analizando casos marginales únicos para determinar si, en determinadas circunstancias, los usuarios no afiliados a un propietario o administrador de cuenta lo hicieron no tener las contraseñas predeterminadas habilitadas en el momento del cambio.

Como tal, si bien es conveniente compartir el enlace de una reunión sin una contraseña, configure siempre una para evitar que las personas invadan su llamada de conferencia.

Mantenga la seguridad del zoom

Zoom se ha disparado en popularidad desde el brote de coronavirus, pero su seguridad es muy deseable. Esto lo demuestra zWarDial, una herramienta creada por investigadores que puede recopilar información de salas de reuniones desprotegidas. Al establecer una contraseña, puede proteger sus propias reuniones contra este ataque. Alternativamente, puede utilizar otras herramientas de videoconferencia con mayor seguridad.