Descubierto un fallo de seguridad en el servicio de videoconferencia Zoom

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Los investigadores de Check Point han descubierto vulnerabilidades críticas en Zoom, el popular servicio de videoconferencia que cuenta entre sus clientes con más del 60% de las empresas de la lista Fortune 500.

Uno de los fallos es importante, ya que si los hackers lo explotasen, podrían generar y verificar fácilmente los ID de las reuniones de esta aplicación para dirigirse a las víctimas. De esta forma, un cibercriminal podría espiar las conversaciones que se mantienen a través de este servicio y tener acceso a todos los archivos (audio, vídeo o cualquier otro tipo de documento) que se compartiesen durante la reunión.

Según explica la firma de seguridad, los identificadores de reuniones de Zoom son puntos de acceso para los participantes que forman parte de una reunión que se celebra a través de esta aplicación. Normalmente, estos números de identificación están formados por cifras de entre 9 y 11 dígitos que suelen estar incluidos en la URL (por ejemplo, https://zoom.us/j/93XXX9XXX5). Sin embargo, sus investigadores descubrieron que un hacker podía generar previamente una larga lista de IDs de reuniones de Zoom, utilizar técnicas de automatización para verificar rápidamente si eran válidos y, a continuación, entrar en las reuniones de Zoom que no estuvieran protegidas por contraseña.

Check Point informó a Zoom de estos hallazgos, y ha colaborado a la hora de publicar una serie de correcciones y nuevas funcionalidades para parchear completamente los fallos de seguridad. Como consecuencia, la compañía ha introducido las siguientes características y funcionalidades de seguridad en su tecnología:

- Contraseñas por defecto: las contraseñas se añaden por defecto a todas las reuniones programadas.

- Permitir a los usuarios añadir contraseñas: los usuarios pueden agregar una contraseña a las reuniones ya programadas y recibir instrucciones por correo electrónico sobre cómo hacerlo.

- Aplicar contraseñas a nivel de cuenta y de grupo: el administrador de la cuenta puede modificar la configuración de las contraseñas y aplicarla tanto a nivel de cuenta como de grupo.

- Validación del ID de la reunión: Zoom ya no indicará automáticamente si un ID de reunión es válido o no, por lo que, con cada intento, la página se cargará e intentará unirse a la reunión. Por lo tanto, un cibercriminal no podrá delimitar rápidamente el número de reuniones a las que intentar unirse.

- Bloqueador de dispositivos: los intentos repetidos de buscar ID de reunión harán que un dispositivo se bloquee durante un período de tiempo.