¿Ya usas Zoom? Parece que la mayoría de las personas, que se han visto obligados a trabajar o a hacer tareas escolares, desde su casa durante el confinamiento por el coronavirus, están utilizando la plataforma de videoconferencia para reuniones, clases e incluso reuniones sociales.
Hay buenas razones por las que Zoom ha despegado y otras plataformas no. Zoom es fácil de configurar, fácil de usar y permite que hasta 100 personas se unan a una reunión de forma gratuita.
Pero hay un inconveniente.
La facilidad de uso de Zoom ha facilitado a los delincuentes informáticos atacar la plataforma. Los profesionales de seguridad de la información dicen que la seguridad de Zoom ha dejado muchos agujeros abiertos, aunque está mejorando. Vamos a analizar aquí los principales problemas de privacidad y seguridad de Zoom.
En este artículo hablamos de:
- El fulgurante crecimiento de la ‘app’ de Zoom para videoconferencias durante la cuarentena pone de manifiesto numerosos problemas de seguridad y privacidad
- Los expertos alertan de los problemas de privacidad de Zoom, incapaz de proteger al 100% los datos personales de los usuarios
- Hasta ahora, esta app de meetings virtuales, no ha sido incapaz de evitar fraudes y ciberataques
- ¿Qué medidas de seguridad ha implementado Zoom para frenar sus problemas con la privacidad y la seguridad?
El fulgurante crecimiento de la ‘app’ de Zoom para videoconferencias durante la cuarentena pone de manifiesto numerosos problemas de seguridad y privacidad
El incremento del uso de Zoom en estos momentos de crisis sanitaria ha evidenciado sus problemas de seguridad.
También ha habido mucho escrutinio sobre la política de privacidad de Zoom, que hasta hace poco parecía darle a Zoom el derecho de hacer lo que le parezca con los datos personales de cualquier usuario.
Eso creó una reacción violenta contra Zoom. Por ejemplo, las escuelas públicas de Nueva York se movieron para prohibir las reuniones de Zoom, y otros sistemas escolares hicieron lo mismo.
Con este montón de problemas, la gente está buscando otras opciones, como Skype, que se ha adaptado para videoconferencias, o Hangouts de Google.
¿Significa todo esto que Zoom no es seguro de usar? No.
A menos que estés discutiendo secretos estatales o corporativos, o divulgando información personal de salud a un paciente, Zoom debería estar bien para usar. Simplemente solicita a los participantes de la reunión que inicien sesión con una contraseña.
Para las clases escolares, las reuniones después del trabajo o incluso las reuniones en el lugar de trabajo que se ajustan a los negocios de rutina, no hay mucho riesgo al usar Zoom. Los niños probablemente continuarán usándola en masa, ya que incluso pueden usar filtros de Snapchat en Zoom.
Solo debes tener en cuenta que el software Zoom crea una enorme “superficie de ataque”, como les gusta decir a los profesionales de seguridad, y que los hackers tratarán de hacerlo de todas las formas posibles. Ya están registrando muchos dominios falsos relacionados con Zoom y están desarrollando malware con temas de Zoom.
Lo bueno es que si se encuentran muchos defectos en Zoom ahora y se solucionan pronto, entonces Zoom será mejor, y más seguro.
Los expertos alertan de los problemas de privacidad de Zoom, incapaz de proteger al 100% los datos personales de los usuarios
Desde la compañía se reconocieron los crecientes fallos de Zoom y prometieron que el desarrollo regular de la plataforma Zoom se suspendería mientras la compañía trabajaba para solucionar problemas de seguridad y privacidad de los datos.
Con el gran aumento de usuarios usando esta app, han surgido nuevos desafíos de privacidad que antes no se habían contemplado. Por eso, se han implementado nuevas características para garantizar la privacidad y seguridad en el uso de Zoom.
Zoom ahora requiere contraseñas por defecto para la mayoría de las reuniones, aunque los organizadores de reuniones pueden desactivar esa función. Las contraseñas son la forma más fácil de detener los ataques a la aplicación.
Los últimos problemas de privacidad que se descubrieron en Zoom
Secuestro de cuentas
Un investigador de seguridad kurdo dijo que Zoom le había pagado una recompensa por los errores, una recompensa por encontrar un fallo grave, después de que descubrió e informó en privado una forma para que cualquiera pueda secuestrar fácilmente cualquier cuenta de Zoom existente si la dirección de correo electrónico de la cuenta era conocida o podía adivinarse fácilmente.
Si intentamos iniciar sesión en el sitio web de Zoom con una cuenta de Facebook, Zoom solicitaría la dirección de correo electrónico asociada con esa cuenta de Facebook. Luego, Zoom abriría una nueva página web notificando que se había enviado un mensaje de correo electrónico de confirmación a esa dirección de correo electrónico.
La URL de la página web de notificación tendría una etiqueta de identificación única en la barra de direcciones.
Si, al abrir el mensaje de correo electrónico de confirmación enviado por Zoom, hacemos clic en el botón de confirmación en el cuerpo del mensaje, nos llevará a otra página web donde podemos confirmar la dirección de correo electrónico asociada con una nueva cuenta.
De hecho, podríamos introducir cualquier dirección de correo electrónico, la tuya, la mía o billgates@gmail.com, en el formulario de registro original.
Y debido a que Zoom permite que cualquier persona que use una dirección de correo electrónico de la empresa vea a todos los demás usuarios registrados con el mismo dominio de correo electrónico, por ejemplo, “empresa.com”, puede aprovecharse este método para robar todas las cuentas de Zoom de una empresa determinada.
2.300 conjuntos de credenciales de inicio de sesión de Zoom encontrados en línea
Los investigadores de IngSights descubrieron un conjunto de 2.300 credenciales de inicio de sesión de Zoom que se comparten en un foro criminal en línea.
Compartir datos personales con anunciantes
Varios expertos en privacidad estudiaron detenidamente la política de privacidad de Zoom y descubrieron que aparentemente le daba a Zoom el derecho de usar los datos personales de los usuarios y compartirlos con vendedores externos.
Después de la publicación de esto, Zoom reescribió rápidamente su política de privacidad, eliminando los pasajes más inquietantes y afirmando que “no vendemos sus datos personales”.
Fugas de direcciones de correo electrónico y fotos de perfil
Zoom coloca automáticamente a todos los que comparten el mismo dominio de correo electrónico en una carpeta de “compañía” donde pueden ver la información de los demás.
Se hacen excepciones para las personas que utilizan grandes clientes de correo web como Gmail, Yahoo, Hotmail o Outlook.com, pero no aparentemente para proveedores de correo web más pequeños que Zoom no conozca.
Hasta ahora, esta app de meetings virtuales, no ha sido incapaz de evitar fraudes y ciberataques
- agregar protecciones predeterminadas más fuertes contra invitados maliciosos,
- eliminar el código que envió datos de manera subrepticia a Facebook,
- extraer una herramienta de marketing de LinkedIn que permite a algunos usuarios recolectar datos personales de otros participantes del chat y
- descontinuar una herramienta que permite a los empleadores ver si los trabajadores estaban prestando atención durante las videollamadas.
Pero mientras Zoom se esfuerza por realizar más mejoras de seguridad y privacidad, y ha congelado el desarrollo de nuevas funciones durante 90 días mientras lo hace, los usuarios aún deben tener precaución. Las medidas de seguridad de ningún servicio son infalibles, y Zoom en sí mismo es tan complejo que es fácil perderse entre sus muchas campanas y silbatos.
Aquí hay algunos problemas de seguridad y privacidad que aún debes tener en cuenta antes de configurar tu próxima reunión de Zoom.
Los últimos problemas de seguridad de la plataforma
Son varios los problemas de seguridad detectados en Zoom. Podemos destacar los siguientes.
Instalador de zoom incluido con malware
Los investigadores de Trend Micro descubrieron una versión del instalador de Zoom que se ha incluido con malware de minería de criptomonedas, es decir, un minero de monedas.
El minero de monedas aumentará la unidad de procesador central de tu PC, y tu tarjeta gráfica si hay una, para resolver problemas matemáticos con el fin de generar nuevas unidades de criptomoneda.
Para evitar ser golpeado con este malware, asegúrate de estar ejecutando uno de los mejores programas antivirus y no hagas clic en ningún enlace en correos electrónicos, publicaciones en redes sociales o mensajes emergentes que prometan instalar Zoom en tu ordenador.
El software de zoom puede corromperse fácilmente
Un buen software tiene mecanismos anti-manipulación incorporados para garantizar que las aplicaciones no ejecuten código que haya sido alterado por un tercero.
Zoom tiene tales mecanismos anti-manipulación en su lugar, lo cual es bueno. Pero esos mecanismos anti-manipulación no están protegidos de la manipulación. El mecanismo antisabotaje de Zoom puede ser fácilmente deshabilitado, o incluso reemplazado por una versión maliciosa que secuestra la aplicación.
Fallo de seguridad con salas de espera para reuniones Zoom
Zoom aconseja a los anfitriones de las reuniones que establezcan “salas de espera” para evitar los ataques a la aplicación. Una sala de espera esencialmente mantiene a los participantes en espera hasta que un anfitrión les da permiso para entrar, ya sea todos a la vez o uno a la vez.
Cifrado falso de extremo a extremo
Zoom afirma que sus reuniones usan “encriptación de extremo a extremo” si cada participante llama desde un ordenador o una aplicación móvil de Zoom en lugar de hacerlo por teléfono. Pero las definiciones de Zoom de “extremo a extremo” y “punto final” no son las mismas que las de los demás.
El “cifrado de extremo a extremo” significa que los servidores que transmiten mensajes de un punto final a otro no pueden descifrarlos.Cuando envías un mensaje desde tu iPhone a otro usuario de iPhone, los servidores de Apple ayudan a que el mensaje llegue de un lugar a otro, pero no pueden leer el contenido.
No es así con Zoom. Puede ver lo que está sucediendo en las reuniones, y a veces puede ser necesario para asegurarse de que todo funcione correctamente.
¿Qué medidas de seguridad ha implementado Zoom para frenar sus problemas con la privacidad y la seguridad?
Como ha ocurrido y sigue ocurriendo con la mejora de la privacidad en redes sociales, Zoom pretende realizar varias actualizaciones de seguridad para evitar problemas de seguridad y privacidad.
Zoom pronto activará las contraseñas y las salas de espera para las reuniones virtuales de forma predeterminada para los usuarios en su nivel gratuito y aquellos con una sola licencia en su nivel pagado más barato en un esfuerzo por ayudar a prevenir ciberataques, o la tendencia reciente de personas que interrumpen las reuniones de Zoom sin invitación. y compartir contenido impactante o incluso pornográfico.
Los nuevos valores predeterminados agregarán una fricción real al proceso de unirse a una reunión, un proceso que Zoom había hecho previamente lo menos friccional posible para ayudar a estimular su crecimiento.
Las contraseñas de Zoom ya estaban activadas de manera predeterminada para nuevas reuniones, teleconferencias instantáneas y reuniones a las que se unió con un ID de reunión. Lo nuevo a partir del 5 de abril es que también se activan para reuniones de Zoom programadas previamente.
Y una vez que te hayas unido a una reunión, tendrás que esperar a que el anfitrión te permita entrar desde la nueva sala de espera virtual. El anfitrión de la reunión puede elegir dejar que las personas entren individualmente desde la sala de espera o todas a la vez.
Zoom anunció un congelamiento de 90 días en el lanzamiento de nuevas funciones para que pueda centrarse en solucionar problemas de privacidad y seguridad con la plataforma.
¿Cómo puedes protegerte tú?
- Evita compartir públicamente los enlaces completos de la reunión de Zoom, que tienen una versión cifrada de la contraseña incorporada. Estos enlaces permiten a cualquiera unirse con un solo clic, incluso si no conocen la contraseña de la reunión, por lo que es importante mantenerlos en secreto.
- Si te preocupa que los invitados compartan inadvertidamente enlaces completos de la reunión con extraños, vete a la página de configuración del perfil de Zoom y desactiva “Incrustar contraseña en el enlace de la reunión para unirse con un solo clic”. Ten en cuenta que esto solo se aplica a los enlaces en las invitaciones a reuniones de Zoom. Si copias la URL de invitación desde una conferencia que ya está en progreso, se incrustará la contraseña para acceder con un solo clic.
- Los docentes que no hayan establecido un Plan de educación deberían considerar configurar la opción Compartir pantalla en “Solo host” en “¿Quién puede compartir?” en la configuración del perfil . De esa manera, los estudiantes no podrán hacer bromas.
- Si insistes en compartir las URL de un clic o no deseas habilitar la sala de espera, puedes establecer un enlace en tu invitación inicial y luego enviar el enlace justo antes de que comience la conferencia. De esa manera, tendrá menos tiempo para llegar a los posibles trolls.
- Para una protección adicional, bloquea la reunión una vez que todos los invitados se hayan unido. Selecciona Administrar participantes, selecciona “Más” en el menú de participantes, luego selecciona “Bloquear reunión”.