Zoom es la app de moda, de la que todo el mundo habla desde que estamos confinados. O, por lo menos, lo era, porque la mayoría de los internautas que teletrabajan desde sus hogares y que necesitan de soluciones de videoconferencia para mantener reuniones virtuales, han pasado a hablar más de sus agujeros de seguridad, que de su funcionalidad.
Gobiernos como el alemán o el indio han prohibido su uso corporativo, mientras que autoridades como la policía catalana (Mossos d’Esquadra) han desaconsejado su uso si no es que se actualiza a su última versión. En la estela de estos, muchas empresas han prohibido también el uso de Zoom a su personal con finalidades corporativas.
Cabe decir que la misma compañía añadió leña al fuego dando a entender que sus comunicaciones estaban encriptadas de extremo a extremo, debiendo más tarde matizar que dicha encriptación sólo afecta a las comunicaciones entre los clientes y los servidores de Zoom y, por lo tanto, la empresa podría llegar a espiar las comunicaciones de sus usuarios, o podría hacerlo una tercera parte que penetrara en los servidores de Zoom.
¿Cuán segura es Zoom?
Muchas aplicaciones sufren agujeros de seguridad, algunos de los cuales tardan en ser descubiertos (y, mientras, pueden ser explotados por ciberdelincuentes), y muchas empresas sufren fugas de datos. Zoom, como empresa y como app, ha sufrido ambas cosas.
A principios de este mes, era hallado un agujero de seguridad en la aplicación de Zoom para Windows, explotable al publicar un enlace en el chat de texto del sistema. Al hacer clic en dicho enlace, un ciberdelincuente podía tener acceso al ordenador de quien había hecho clic, de forma remota, y ganar privilegios en su sistema hasta poder ejecutar programas en él.
Dicha vulnerabilidad fue parcheada por Zoom, por lo que se hace necesario actualizar la app a la última versión disponible para la plataforma Windows.
También es necesario actualizar a la última versión para macOS al ser descubiertas (y debidamente parcheadas) dos vulnerabilidades, una explotable localmente (es decir, que es necesario tener acceso físico al ordenador) en el proceso de instalación, y la otra explotable en remoto que también permitía el acceso y la ejecución de código de forma remota.
Al anunciar la solución a estos problemas de seguridad, desde Zoom también afirmaron que mejorarían su programa de seguridad para poder encontrar, de forma más efectiva, los agujeros en su código fuente.
Datos a la venta
Si parecía que la tormenta amainaba para Zoom, pocos días después saltaba otra noticia: investigadores del Citizen Lab de la Universidad de Toronto detectaban que las llaves de encriptación de las videoconferencias podían acabar en servidores localizados en China.
Si bien esto ‘per se’ no es ningún problema, en cuanto juntamos dos factores podemos ver que, a la práctica, sí es problemático: en primer lugar, por ley, el gobierno chino debe poder tener acceso a todos los sistemas ubicados en su geografía.
Esto significa que si yo tengo un servidor montado en territorio chino, este debe ser accesible a las autoridades policiales y gubernamentales del país.
Y ahora vamos a por el segundo factor: Zoom es utilizado (o, por lo menos lo era) por empresas norteamericanas.
Esto significa, simple y llanamente, que el gobierno chino podría llegar a espiar las conversaciones entre ejecutivos de empresas norteamericanas. Obviamente, una posibilidad nada interesante para un país que está en guerra comercial abierta con el gigante asiático.
Pero las desgracias de Zoom no acaban aquí: al cabo de unos días, un grupo de investigadores en ciberseguridad, daban con una base de datos de nombres de usuario, direcciones de correo electrónico y otros datos de usuarios de Zoom, a la venta en la dark web.
Una vez adquiridos, y convenientemente utilizados, estos datos pueden dar lugar a ataques que exploten los agujeros de seguridad que he mencionado al principio, si las aplicaciones están instaladas en ordenadores que no han sido actualizados, o bien empleados con agujeros de seguridad que todavía no han sido detectados por los expertos en ciberseguridad, pero sí por los ciberdelincuentes.
¿Todavía quieres utilizar Zoom?
Pocas aplicaciones están libres de fallos de seguridad, pero Zoom tiene un Talón de Aquiles que comparte con otras: es popular, lo que quiere decir que es muy utilizada. Esto implica millones de instalaciones en todo el mundo... que la hacen atractiva para los cibercriminales.
Es lo mismo que pasa con el malware: ¿por qué el 90% está diseñado para atacar a sistemas Windows? Pués simple: porque el 90% de los ordenadores de todo el mundo funcionan con alguna versión de Windows.
De esta forma, un ciberdelincuente se asegura que su creación causa el mayor daño posible. Daño a sus víctimas, lucro para él.
