Durante esta semana he recibido muchas consultas del tipo ¿Ha sido Zoom Hackeado? Esta palabra que se aplica demasiadas veces con ánimo peyorativo hace saltar todas las alarmas. Por eso quiero hablaros de los Problemas de seguridad en la APP Zoom. Trataremos de arrojar algo de luz a lo ocurrido en torno a este servicio.
El Covid-19 ha metido de lleno en el fenómeno de las videoconferencias a personas totalmente neófitas, muchas y muchos nos leen por primera vez. Es por eso que quiero recordar los artículos que hemos hecho ante el coronavirus. Os dejo los enlaces antes de empezar este análisis: Coronavirus, FakeNews y consecuencias económicas, El Coronavirus nos deja sin Mobile World Congress e Higiene y limpieza en tu Smartphone.
APP de video llamadas Zoom.
Zoom es un software para videoconferencias y videollamadas, esta aplicación es ampliamente usada en el mundo empresarial y también a nivel personal. Es además un programa multiplataforma disponible para Windows, macOS, Linux, Android e IOS. Además de lo anterior tiene disponible planes gratuitos y planes de pago que amplían sus posibilidades. A razón de la crisis del Covid-19 y al igual que otros programas similares, ha visto ampliado su número de usuarios.
Detectadas vulnerabilidades.
A razón de algunas vulnerabilidades en Zoom, muchas personas han dejado de usarlo. La preocupación en los usuarios de la plataforma ha subido. Muchos de estos consumidores además son empresas que se han visto obligados a teletrabajar y necesitan de un soporte para sus reuniones y videollamadas. Veamos cuales son esas vulnerabilidades:
Vulnerabilidad para Windows:
Según dice el CCN-CERT en un comunicado:
El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, avisa de la detección de una vulnerabilidad en Zoom, sistema para realizar videollamadas desde ordenadores y dispositivos móviles.
Investigadores de seguridad informática han detectado una vulnerabilidad de inyección de ruta UNC en la distribución para Windows de Zoom, servicio de videollamadas para ordenadores y dispositivos móviles, cuyo empleo en el entorno empresarial ha aumentado notoriamente a consecuencia de la actual crisis del COVID-19. La aplicación cuenta con una función de chat que permite convertir las rutas UNC de red de Windows en hipervínculos para que otros miembros puedan hacer clic en ellas y, así, compartir archivos de forma remota. Si un usuario intenta acceder a un enlace de ruta UNC, Windows intentará conectarse al sitio remoto utilizando el protocolo SMB. El problema reside en que, cuando Windows lo lleva a cabo, envía, a su vez, el nombre de inicio de sesión del usuario y su hash de contraseña NTLM.
Esto podría permitir a un posible atacante obtener las credenciales del usuario engañando a la víctima para que, previamente, haga clic en un hipervínculo dañino. Hay que tener en cuenta que las credenciales no se encuentran en texto plano, no obstante, si el usuario emplea una contraseña débil, esta podría ser descifrada fácilmente en segundos usando herramientas como HashCat o John the Ripper. Además, expertos en seguridad han notificado que un posible atacante podría aprovechar la creación de hipervínculos para ejecutar archivos locales en el sistema víctima sin que este pueda percatarse. En esta línea, existe otra controversia suscitada por la aplicación, pues se ha descubierto que esta no emplea cifrado de extremo a extremo para proteger los datos.
Por el momento, la vulnerabilidad no ha recibido identificador CVE ni se encuentra registrada en la base de datos del NIST, por lo que esta no ha sido analizada ni cuenta con puntuación en base a la escala CVSSv3. Si bien, cabe mencionar que, dado que es requerida previa interacción por parte del usuario y que una explotación exitosa podría tener un impacto completo en la confidencialidad, la vulnerabilidad podría ser calificada como alta. No obstante, actualmente, no se tiene conocimiento de la explotación activa de la vulnerabilidad, si bien, se ha detectado la presencia de un exploit públicamente disponible para aprovechar la vulnerabilidad.
FUENTE: CCN-CERT
Obligados a actualizar.
Producto de dicha vulnerabilidad, es imperativo actualizar cuanto antes la aplicación para Windows. Desde INCIBE también se hicieron eco de ello y lanzaron el siguiente comunicado.
Esto ha provocado que muchos internautas entraran en confusión sobre si procedía y era seguro utilizar Zoom en Windows.
El problema de cifrado extremo a extremo.
Entre otros problemas también conocíamos el del cifrado extremo a extremo. El medio especializado The Intercept publicaba este artículo argumentando que el posible cifrado end to end de Zoom no era tal. En ese artículo se relata según investigación propia de éstos, que desde la empresa se podría acceder a los mensajes de los usuarios. No concordaba por lo tanto con otros protocolos de cifra que el consumidor entiende (y espera encontrar) en un cifrado de extremo a extremo.
Por su parte Zoom hizo una aclaración en su blog oficial y aquí os traducimos un extracto:
En vista del interés reciente en nuestras prácticas de encriptación, queremos comenzar disculpándonos por la confusión que hemos causado al sugerir incorrectamente que las reuniones de Zoom fueron capaces de usar encriptación de extremo a extremo. Zoom siempre se ha esforzado por utilizar el cifrado para proteger el contenido en tantos escenarios como sea posible, y en ese espíritu, usamos el término cifrado de extremo a extremo. Si bien nunca tuvimos la intención de engañar a ninguno de nuestros clientes, reconocemos que existe una discrepancia entre la definición comúnmente aceptada de cifrado de extremo a extremo y la forma en que la utilizamos.
Problemas con la aplicación para IOS.
Más problemas de seguridad en la APP Zoom. En esta ocasión por parte del medio Vice Motherboard conocíamos este problema. Parece ser que una vez descargada la app en IOS, al abrirla ésta se conectaba a la API de Facebook. Así se compartían datos técnicos como el tipo de dispositivo y área de conexión con ese servicio. Esa compartición era posible al poder conectar la aplicación con una cuenta de Facebook.
Zoom también reaccionó lanzando un comunicado en su blog, aquí un extracto traducido:
Originalmente implementamos la función “Iniciar sesión con Facebook” utilizando el SDK de Facebook para iOS (Kit de desarrollo de software) para proporcionar a nuestros usuarios otra forma conveniente de acceder a nuestra plataforma. Sin embargo, el miércoles 25 de marzo de 2020 se nos informó que el SDK de Facebook estaba recopilando información innecesaria del dispositivo para que pudiéramos proporcionar nuestros servicios. La información recopilada por el SDK de Facebook no incluía información y actividades relacionadas con reuniones tales como asistentes, nombres, notas, etc., sino que incluía información sobre dispositivos como el tipo y la versión del SO móvil, la zona horaria del dispositivo, el SO del dispositivo, modelo de dispositivo y operador, tamaño de pantalla, núcleos de procesador y espacio en disco
Aparentemente 500.000 cuentas vendidas según Bleeping Computer.
El medio Bleeping Computer publicó este artículo. En él señalaban más problemas de seguridad para la APP Zoom. En concreto la venta ilegal de 500.000 cuentas de Zoom en la Dark Web. Las cuentas se comparten mediante sitios de intercambio de texto donde se exponen correos electrónicos y combinaciones de contraseñas según señala ese medio. De este problema se han hecho eco también en España medios especializados. Lo podemos leer en el canal del telegram de Derecho de la Red.
Demasiados problemas de seguridad en la APP Zoom.
Una vez leídas todas estas investigaciones, hemos visto que se ha planteado un problema serio en las personas que usan habitualmente este software. Siendo este un momento crítico en el que muchos profesionales se encuentran teletrabajando, la credibilidad de la aplicación ha bajado estrepitosamente. No son pocos las usuarias y usuarios que me han llamado o escrito porque necesitan de un programa para hacer videoconferencias.
Conclusiones
Para nosotros, el software libre y de código abierto puede ser una excelente alternativa. También hay opciones privativas que cuentan con un soporte serio de seguridad. Desde luego conviene estudiar el software a utilizar. Sobre todo si eres profesional. Ilústrate antes de lanzarte a usar un programa que pueda comprometer tus activos.
Ya tenemos el artículo Programas gratis que no pueden faltar en tu PC y anteriormente también hablamos sobre Telegram la APP de mensajería más usada por manifestantes. Esos artículo los recomendamos por contener APPs útiles, pero hoy quiero dejaros más aplicaciones. Mi pequeña aportación para este texto van a ser una serie de programas que os pueden ayudar en vuestras tareas de videoconferencia. Si bien recordaros que esta es mi opinión a título personal. Como siempre quiero avisar que la seguridad total en el mundo de las tecnologías no existe. En un futuro podría verse comprometida alguna de estas aplicaciones.
Mis APP de videoconferencia.
Ante los Problemas de seguridad en la APP Zoom, puede que te interese probar los siguientes programas:
Riot: Es una aplicación de código abierto. Podrás realizar chats, videollamadas y conferencias. Es multiplataforma y completamente gratuita. La aplicación Riot ahora es Element. Se han añadido algunas funciones y otras han desaparecido, aunque sigue siendo básicamente lo mismo. Sitio Web.- Wire: Este programa de código abierto para entornos empresariales está creado pensando en la privacidad. Tiene posibilidad de realizar videoconferencias. Es multiplataforma. Cuenta con una versión básica gratuita y con versiones de pago. Sito Web.
- Jitsy Meet: Su popularidad ha subido últimamente dada su sencillez de uso. Esta es una aplicación de código abierto, multiplataforma. Dispone de la posibilidad de realizar videoconferencias utilizando tu propio servidor. Es gratuita. Sitio Web.
Como siempre querid@ lector/a recuerda aplicar el sentido común en el uso de estas aplicaciones. Todas tienen peligro de obsolencia. Si no se actualizan, descártalas.