Una de cal y otra de arena: descubiertos nuevos fallos de seguridad en Zoom

Una de cal y otra de arena: descubiertos nuevos fallos de seguridad en Zoom

Escrito por: Carlos Villar    7 abril 2020     2 minutos

Pese a que la compañía asegura trabajar en solucionar todos los fallos, las videollamadas en Zoom siguen sin ser seguras para sus usuarios.

Cuando las aguas parecía volver a su cauce y que Zoom las tenía todas consigo para seguir siendo una herramienta adecuada para comunicarnos con nuestros seres queridos de los que nos distancia ahora el Coronavirus, un último vistazo a la situación nos hace comprobar que no es así para nada y que la app sigue teniendo serias brechas en materia de seguridad.

Se trata de nuevas vulnerabilidades que permitirían a un atacante acceder a información relevante de nuestras videollamadas a través de Zoom. Vamos, que seguimos sin estar seguros utilizando la app, a pesar de los esfuerzos de sus desarrolladores para corregir los fallos que ya se habían detectado previamente.

Sin embargo, un grupo de expertos en materia de ciberseguridad han sido capaces de localizar alrededor de 2.400 ID de videollamadas en un solo día. Estos expertos han creado un programa al que han bautizado como zWarDial y que puede detectar de manera automática las ID de llamada de los usuarios de Zoom (pese a que dichas ID están formadas por entre 9 y 11 dígitos) y recopilar información de las llamadas que se hayan realizado. Datos como el enlace de llamada, el organizador de la misma o el asunto, entre otros.

Estos es posible porque las contraseñas para las nuevas quedadas hace tiempo que se crean por defecto, a no ser que el administrador de la cuenta la cambie (si es que se le ocurre hacerlo, algo que nuestra tendencia a la comodidad suele desaconsejar a veces) y ha hecho que los desarrolladores de Zoom se pregunten por qué este sistema no está funcionando adecuadamente y cómo se ha convertido en un coladero para los posibles hackers.

Además, los servidores no sólo no son tan seguros como deberían de ser en estos tiempos, si no que se alojan en países cuya tendencia a interferir en la privacidad de los usuarios es de sobra conocido o están cifrados con claves de 128-bit, a pesar de que Zoom asegura proteger a sus usuarios mediante claves de 256-bit AES. Que sí, que las primeras siguen siendo seguras, pero lo ideal es actualizarse como casi todas las compañías han hecho ya.

Si a esto añadimos que el algoritmo utilizado en las encriptaciones AES es el algoritmo ECB (Electronic Codebook), al que se considera desfasado y poco seguro por su tendencia a utilizar patrones ya conocidos en sus cifrados, vuelven a hacer de Zoom una opción poco aconsejable si queremos un mínimo de seguridad y privacidad en nuestras comunicaciones en favor de otras alternativas disponibles.


Comentarios cerrados