¡Pide presupuesto en 2 min! ✓
CiberseguridadInternet

Los problemas de privacidad y seguridad de Zoom empañan el éxito de esta aplicación durante la crisis del Covid 19

9 Mins read

¿Ya usas Zoom? Parece que la mayoría de las personas, que se han visto obligados a trabajar o a hacer tareas escolares, desde su casa durante el confinamiento por el coronavirus, están utilizando la plataforma de videoconferencia para reuniones, clases e incluso reuniones sociales.

Hay buenas razones por las que Zoom ha despegado y otras plataformas no. Zoom es fácil de configurar, fácil de usar y permite que hasta 100 personas se unan a una reunión de forma gratuita.

Pero hay un inconveniente.

La facilidad de uso de Zoom ha facilitado a los delincuentes informáticos atacar la plataforma. Los profesionales de seguridad de la información dicen que la seguridad de Zoom ha dejado muchos agujeros abiertos, aunque está mejorando.

Vamos a analizar aquí los principales problemas de privacidad y seguridad de Zoom.

Problemas de privacidad y seguridad de Zoom

El fulgurante crecimiento de la ‘app’ de Zoom para videoconferencias durante la cuarentena pone de manifiesto numerosos problemas de seguridad y privacidad

El incremento del uso de Zoom en estos momentos de crisis sanitaria ha evidenciado sus problemas de seguridad.

También ha habido mucho escrutinio sobre la política de privacidad de Zoom, que hasta hace poco parecía darle a Zoom el derecho de hacer lo que le parezca con los datos personales de cualquier usuario.

Eso creó una reacción violenta contra Zoom. Por ejemplo, las escuelas públicas de Nueva York se movieron para prohibir las reuniones de Zoom, y otros sistemas escolares hicieron lo mismo.

Con este montón de problemas, la gente está buscando otras opciones, como Skype, que se ha adaptado para videoconferencias, o Hangouts de Google.

¿Significa todo esto que Zoom no es seguro de usar? No.

A menos que estés discutiendo secretos estatales o corporativos, o divulgando información personal de salud a un paciente, Zoom debería estar bien para usar. Simplemente solicita a los participantes de la reunión que inicien sesión con una contraseña.

Para las clases escolares, las reuniones después del trabajo o incluso las reuniones en el lugar de trabajo que se ajustan a los negocios de rutina, no hay mucho riesgo al usar Zoom. Los niños probablemente continuarán usándola en masa, ya que incluso pueden usar filtros de Snapchat en Zoom.

Solo debes tener en cuenta que el software Zoom crea una enorme “superficie de ataque”, como les gusta decir a los profesionales de seguridad, y que los hackers tratarán de hacerlo de todas las formas posibles. Ya están registrando muchos dominios falsos relacionados con Zoom y están desarrollando malware con temas de Zoom.

Lo bueno es que si se encuentran muchos defectos en Zoom ahora y se solucionan pronto, entonces Zoom será mejor, y más seguro.

Los expertos alertan de los problemas de privacidad de Zoom, incapaz de proteger al 100% los datos personales de los usuarios

Desde la compañía se reconocieron los crecientes fallos de Zoom y prometieron que el desarrollo regular de la plataforma Zoom se suspendería mientras la compañía trabajaba para solucionar problemas de seguridad y privacidad.

Con el gran aumento de usuarios usando esta app, han surgido nuevos desafíos de privacidad que antes no se habían contemplado. Por eso, se han implementado nuevas características para garantizar la privacidad y seguridad en el uso de Zoom.

Zoom ahora requiere contraseñas por defecto para la mayoría de las reuniones, aunque los organizadores de reuniones pueden desactivar esa función. Las contraseñas son la forma más fácil de detener los ataques a la aplicación.

Los últimos problemas de privacidad que se descubrieron en Zoom

Han surgido varios problemas de privacidad al utilizar Zoom durante la crisis del Covid19. Estos son los más importantes.
Zoom y covid19

Secuestro de cuentas

Un investigador de seguridad kurdo dijo que Zoom le había pagado una recompensa por los errores, una recompensa por encontrar un fallo grave, después de que descubrió e informó en privado una forma para que cualquiera pueda secuestrar fácilmente cualquier cuenta de Zoom existente si la dirección de correo electrónico de la cuenta era conocida o podía adivinarse fácilmente.

Si intentamos iniciar sesión en el sitio web de Zoom con una cuenta de Facebook, Zoom solicitaría la dirección de correo electrónico asociada con esa cuenta de Facebook. Luego, Zoom abriría una nueva página web notificando que se había enviado un mensaje de correo electrónico de confirmación a esa dirección de correo electrónico.

La URL de la página web de notificación tendría una etiqueta de identificación única en la barra de direcciones.

Si, al abrir el mensaje de correo electrónico de confirmación enviado por Zoom, hacemos clic en el botón de confirmación en el cuerpo del mensaje, nos llevará a otra página web donde podemos confirmar la dirección de correo electrónico asociada con una nueva cuenta.

De hecho, podríamos introducir cualquier dirección de correo electrónico, la tuya, la mía o billgates@gmail.com, en el formulario de registro original.

Y debido a que Zoom permite que cualquier persona que use una dirección de correo electrónico de la empresa vea a todos los demás usuarios registrados con el mismo dominio de correo electrónico, por ejemplo, “empresa.com”, puede aprovecharse este método para robar todas las cuentas de Zoom de una empresa determinada.

2.300 conjuntos de credenciales de inicio de sesión de Zoom encontrados en línea

Los investigadores de IngSights descubrieron un conjunto de 2.300 credenciales de inicio de sesión de Zoom que se comparten en un foro criminal en línea.

Además de las cuentas personales, había muchas cuentas corporativas pertenecientes a bancos, empresas de consultoría, centros educativos, proveedores de atención médica y proveedores de software, entre otros. Si bien algunas de las cuentas solo incluían un correo electrónico y una contraseña, otras incluían ID de reuniones, nombres y claves de host.

Compartir datos personales con anunciantes

Varios expertos en privacidad estudiaron detenidamente la política de privacidad de Zoom y descubrieron que aparentemente le daba a Zoom el derecho de usar los datos personales de los usuarios y compartirlos con vendedores externos.

Después de la publicación de esto, Zoom reescribió rápidamente su política de privacidad, eliminando los pasajes más inquietantes y afirmando que “no vendemos sus datos personales”.

Fugas de direcciones de correo electrónico y fotos de perfil

Zoom coloca automáticamente a todos los que comparten el mismo dominio de correo electrónico en una carpeta de “compañía” donde pueden ver la información de los demás.

Se hacen excepciones para las personas que utilizan grandes clientes de correo web como Gmail, Yahoo, Hotmail o Outlook.com, pero no aparentemente para proveedores de correo web más pequeños que Zoom no conozca.

Hasta ahora, esta app de meetings virtuales, no ha sido incapaz de evitar fraudes y ciberataques

 Entre los cambios que Zoom ya ha realizado en su software de videollamadas están:
  • agregar protecciones predeterminadas más fuertes contra invitados maliciosos,
  • eliminar el código que envió datos de manera subrepticia a Facebook,
  • extraer una herramienta de marketing de LinkedIn que permite a algunos usuarios recolectar datos personales de otros participantes del chat y
  • descontinuar una herramienta que permite a los empleadores ver si los trabajadores estaban prestando atención durante las videollamadas.

Pero mientras Zoom se esfuerza por realizar más mejoras de seguridad y privacidad, y ha congelado el desarrollo de nuevas funciones durante 90 días mientras lo hace, los usuarios aún deben tener precaución. Las medidas de seguridad de ningún servicio son infalibles, y Zoom en sí mismo es tan complejo que es fácil perderse entre sus muchas campanas y silbatos.

Aquí hay algunos problemas de seguridad y privacidad que aún debes tener en cuenta antes de configurar tu próxima reunión de Zoom.

Los últimos problemas de seguridad de la plataforma

Son varios los problemas de seguridad detectados en Zoom. Podemos destacar los siguientes.

Instalador de zoom incluido con malware

Los investigadores de Trend Micro descubrieron una versión del instalador de Zoom que se ha incluido con malware de minería de criptomonedas, es decir, un minero de monedas.

El minero de monedas aumentará la unidad de procesador central de tu PC, y tu tarjeta gráfica si hay una, para resolver problemas matemáticos con el fin de generar nuevas unidades de criptomoneda.

Para evitar ser golpeado con este malware, asegúrate de estar ejecutando uno de los mejores programas antivirus y no hagas clic en ningún enlace en correos electrónicos, publicaciones en redes sociales o mensajes emergentes que prometan instalar Zoom en tu ordenador.

El software de zoom puede corromperse fácilmente

Un buen software tiene mecanismos anti-manipulación incorporados para garantizar que las aplicaciones no ejecuten código que haya sido alterado por un tercero.

Zoom tiene tales mecanismos anti-manipulación en su lugar, lo cual es bueno. Pero esos mecanismos anti-manipulación no están protegidos de la manipulación. El mecanismo antisabotaje de Zoom puede ser fácilmente deshabilitado, o incluso reemplazado por una versión maliciosa que secuestra la aplicación.

Fallo de seguridad con salas de espera para reuniones Zoom

 Zoom aconseja a los anfitriones de las reuniones que establezcan “salas de espera” para evitar los ataques a la aplicación. Una sala de espera esencialmente mantiene a los participantes en espera hasta que un anfitrión les da permiso para entrar, ya sea todos a la vez o uno a la vez.

Pero se ha encontrado un serio problema de seguridad con las salas de espera de Zoom, aconsejando a los anfitriones y participantes que no las usen por ahora.

Cifrado falso de extremo a extremo

Zoom afirma que sus reuniones usan “encriptación de extremo a extremo” si cada participante llama desde un ordenador o una aplicación móvil de Zoom en lugar de hacerlo por teléfono. Pero las definiciones de Zoom de “extremo a extremo” y “punto final” no son las mismas que las de los demás.

 El “cifrado de extremo a extremo” significa que los servidores que transmiten mensajes de un punto final a otro no pueden descifrarlos.Cuando envías un mensaje desde tu iPhone a otro usuario de iPhone, los servidores de Apple ayudan a que el mensaje llegue de un lugar a otro, pero no pueden leer el contenido.

No es así con Zoom. Puede ver lo que está sucediendo en las reuniones, y a veces puede ser necesario para asegurarse de que todo funcione correctamente.

Meetings de zoom seguros

¿Qué medidas de seguridad ha implementado Zoom para frenar sus problemas con la privacidad y la seguridad?

La aplicación pretende realizar varias actualizaciones de seguridad para evitar problemas de seguridad y privacidad.

Zoom pronto activará las contraseñas y las salas de espera para las reuniones virtuales de forma predeterminada para los usuarios en su nivel gratuito y aquellos con una sola licencia en su nivel pagado más barato en un esfuerzo por ayudar a prevenir ciberataques, o la tendencia reciente de personas que interrumpen las reuniones de Zoom sin invitación. y compartir contenido impactante o incluso pornográfico.

Los nuevos valores predeterminados agregarán una fricción real al proceso de unirse a una reunión, un proceso que Zoom había hecho previamente lo menos friccional posible para ayudar a estimular su crecimiento.

Las contraseñas de Zoom ya estaban activadas de manera predeterminada para nuevas reuniones, teleconferencias instantáneas y reuniones a las que se unió con un ID de reunión. Lo nuevo a partir del 5 de abril es que también se activan para reuniones de Zoom programadas previamente.

Y una vez que te hayas unido a una reunión, tendrás que esperar a que el anfitrión te permita entrar desde la nueva sala de espera virtual. El anfitrión de la reunión puede elegir dejar que las personas entren individualmente desde la sala de espera o todas a la vez.

Zoom anunció un congelamiento de 90 días en el lanzamiento de nuevas funciones para que pueda centrarse en solucionar problemas de privacidad y seguridad con la plataforma.

¿Cómo puedes protegerte tú?

Aquí tienes otros pasos que puedes seguir si te preocupa que las personas invadan tus videoconferencias:
  • Evita compartir públicamente los enlaces completos de la reunión de Zoom, que tienen una versión cifrada de la contraseña incorporada. Estos enlaces permiten a cualquiera unirse con un solo clic, incluso si no conocen la contraseña de la reunión, por lo que es importante mantenerlos en secreto.
  • Si te preocupa que los invitados compartan inadvertidamente enlaces completos de la reunión con extraños, vete a la página de configuración del perfil de Zoom y desactiva “Incrustar contraseña en el enlace de la reunión para unirse con un solo clic”. Ten en cuenta que esto solo se aplica a los enlaces en las invitaciones a reuniones de Zoom. Si copias la URL de invitación desde una conferencia que ya está en progreso, se incrustará la contraseña para acceder con un solo clic.
  • Los docentes que no hayan establecido un Plan de educación deberían considerar configurar la opción Compartir pantalla en “Solo host” en “¿Quién puede compartir?” en la configuración del perfil . De esa manera, los estudiantes no podrán hacer bromas.
  • Si insistes en compartir las URL de un clic o no deseas habilitar la sala de espera, puedes establecer un enlace en tu invitación inicial y luego enviar el enlace justo antes de que comience la conferencia. De esa manera, tendrá menos tiempo para llegar a los posibles trolls.
  • Para una protección adicional, bloquea la reunión una vez que todos los invitados se hayan unido. Selecciona Administrar participantes, selecciona “Más” en el menú de participantes, luego selecciona “Bloquear reunión”.
Yolanda González

About author
Graduada en Derecho por la Universidad de León y Máster en Abogacía por la Universidad de Oviedo. Especializada en realizar adaptaciones y auditorías conforme a la normativa de protección de datos para todo tipo de empresas y sectores.
Articles
Related posts
Ciberseguridad

¿Qué es el flaming en Internet?

8 Mins read
Dentro de la investigación del comportamiento en Internet, existen múltiples formas de acoso en la red. Dentro de estos tipos de acoso…
Ciberseguridad

Ingeniería social: Riesgos para los datos del individuo

11 Mins read
El concepto de ingeniería social con respecto a la seguridad de la información se refiere directamente al robo de datos mediante la…
Internet

Descubre Freenet, la darkweb alternativa a TOR

8 Mins read
Todos sabemos que existe libertad en Internet. Pero hay también censura. Sin embargo, existe una red donde la censura es matemáticamente imposible….

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.