Zoom: problemas de seguridad con laa app de videollamadas, cómo solucionarlos
En plena crisis del Covid-19 se descubre una vulnerabilidad para quien use la app Zoom de videollamadas en Windows.
Durante esta temporada de confinamiento las apps de videoconferencias han sido las grandes protagonistas para juntar a todos aquellos que tienen un dispositivo inteligente en casa. Esto también va por los que tienen un PC, los que si tienen una cámara web tienen la posibilidad de hacer más posibilidades de ver que les vean. Una de las aplicaciones de las que más se ha hablado en estas semanas ha sido Zoom, la que por desgracia ha confirmado un fallo de seguridad.
Vulnerabilidad de Zoom con Windows
Puede que Skype, WhatsApp o Facebook Messenger se hayan postulado como algunas de las aplicaciones para conectarte con tus amigos. Todas ellas sirven para mandarte mensajes con quien tú quieras, pero una ha destacado frente al resto por su capacidad de aglutinar a varios usuarios en una misma sala. Su nombre es Zoom y si eres estudiante es posible que la hayas escuchado como alternativa a muchas otras para dar clase.
La herramienta es útil si, pero por desgracia se ha descubierto un error en el código que revela las contraseñas de los usuarios de Zoom: Varios usuarios han reportado una vulnerabilidad que es más peligrosa de lo que parece. En primer lugar porque al parecer no se necesitan muchos conocimientos para explotarla, lo que hace muy sencillo hacerse con el control de las credenciales de los usuarios.
Esta vulnerabilidad podría explotarse enviando un enlace a la víctima, que en el caso de hacer clic, enviaría su nombre de usuario y el hash de su contraseña de Windows (un código único generado automáticamente a partir de la contraseña) al atacante.
Cómo arreglar el fallo de Zoom
La vulnerabilidad descubierta afecta al sistema operativo Windows, y podría permitir a un ciberdelincuente robar el nombre de usuario de la víctima y el hash de su contraseña de acceso al equipo. Aunque la contraseña no sea visible, si no fuera lo suficientemente robusta, podría ser deducida con facilidad. Además, utilizando la misma vulnerabilidad, el atacante podría ejecutar archivos y programas en el equipo de la víctima.
La manera de explotarla consistiría en enviar a la víctima una serie de caracteres representando una ruta de red del estilo de “\\direccion\ruta”, que la aplicación de Zoom para Windows convertiría automáticamente en un enlace. Si el usuario hace clic en este enlace, enviaría su nombre de usuario y el hash de su contraseña de Windows al atacante.
Tras cambiar la contraseña -lo primero-, y dado que la vulnerabilidad afecta a los usuarios de Zoom para Windows con versiones anteriores a la 4.6.9, la única solución es actualizar la aplicación en cuanto puedas, instalando la última versión disponible directamente del Centro de Descargas de Zoom.
La falta de cifrado en Zoom
Este fallo en la seguridad de Zoom es muy grande, pero todavía hay más. La firma ha confirmado que su sistema no cuenta con un encriptado punto a punto como muchas otras apps de mensajería usan para cifrar los mensajes. Al parecer, la compañía se cubre diciendo que su “lectura del ‘punto a punto’ se refiere al intercambio de información entre los servidores de la propia Zoom. Por lo tanto, el tránsito de datos queda expuesto hasta que llegan a sus servidores, siendo más vulnerables que de costumbre.
Entonces ¿qué hacer en esta situación? Actualizar y cambiar la contraseña puede ayudar a evitar el primer problema, pero con el segundo poco se puede hacer ya que depende de la propia empresa mejorar su capa de seguridad.