¿Te imaginás de qué se trata?

¡Por fin!: Zoom hizo el anuncio que millones de usuarios estaban esperando

La app de videollamadas saldó una gran deuda que no le permitía terminar de explotar
jueves, 16 de julio de 2020 · 13:19

Zoom es sin dudas una de las aplicaciones que más popularidad ha adquirido durante este tiempo de cuarentena a lo largo de todo el mundo.

Millones de usuarios se han valido de esta herramienta para mantenerse en contacto con sus seres queridos y también para apoyar sus trabajos profesionales. 

Pero muchos de ellos no sabían que se exponían a ser víctimas de una falla de seguridad que los volvía vulnerables frente a los hackers.

Por fin, este jueves, los desarrolladores detrás de la plataforma aseguraron que solucionaron este error que podía permitir la difusión de campañas de suplantación de identidad (phishing).

La aplicación de videollamadas Zoom cuenta con la opción "Vanity URL" que permite a las organizaciones personalizar la dirección electrónica url con la que invitan a los usuarios a unirse a una videollamada concreta.

Esta brecha de seguridad, descubierto por investigadores de Check Point, permite a los cibercriminales enviar invitaciones aparentemente inofensivas a diferentes reuniones a través de Zoom con el objetivo de infiltrar malware y robar datos o credenciales de ese usuario.

El fallo de seguridad del "Vanity URL" se identificó en enero, y desde la compañía de seguridad consideran que los cibercriminales han podido manipular una 'url' a través de enlaces directos como objetivo, por los que el cibercriminal podría cambiar la 'url' de la invitación para incluir un sub-dominio registrado de su elección. Es decir, si el enlace original era 'https://zoom.us/j/##########', el atacante podía cambiarlo a 'https://.zoom.us/j/###########'.

Pero también a través de ataques dirigidos a las interfaces web de Zoom personalizadas. Algunas empresas tienen su propia interfaz web de Zoom para las conferencias. Un cibercriminal podría atacar dicha interfaz e intentar redirigir a un usuario para que introduzca un ID de reunión en la url maliciosa de Vanity, en lugar de la interfaz web de Zoom auténtica.

En ambos casos, como destacan desde la compañía, "sin formación específica en materia de ciberseguridad, es posible que la víctima de esos ataques no pueda reconocer la url maliciosa y sea víctima del ataque".

Con cualquiera de los dos métodos, un atacante podría hacerse pasar por empleado de una empresa a través de Zoom, y de esta forma robar credenciales o información sensible.

Una sucesión de problemas de seguridad 

Con la crisis del coronavirus y la condición de aislamiento que está sumergida gran parte de la población en el mundo, Zoom creció de forma notable y muchos especialistas en seguridad informática decidieron analizarla en búsqueda de vulnerabilidades. Tras someterla a un examen, la herramienta evidenció que puede ser víctima de ciberataques, ya que deja al descubierto los datos privados de los usuarios.

Un joven hacker de nombre Matthew Hickey fue quien encontró esta falla en abril pasado en el sistema operativo de Microsoft y publicó los detalles en su cuenta de Twitter (@HackerFantastic).

Esta brecha de seguridad le permitía al hacker acceder a los datos de acceso, nombre de usuario y la contraseña de Windows, para así poder iniciar videollamadas sin que el creador de la sala haya dado autorización.

A medida que el éxito de la plataforma crecía al compás de la pandemia de Covid-19, Zoom dejó en evidencia ciertos problemas de seguridad que lo involucraron con pornografía y prácticas abusivas. Los especialistas lo denominaron "zoombombing".

Por la configuración y diseño de la plataforma, usuarios desconocidos podían vincularse a una videollamada al tomar contacto con la URL de la sesión y si el anfitrión no había tomó las medidas de protección necesarias. Esto se tradujo en decenas de incursiones de desconocidos en videollamadas.

Además de estos ataques "activos", también se puede dar una incursión más "pasiva" donde el atacante pase desapercibido si es una videoconferencia lo suficientemente grande. De este modo el hacker podía conseguir información de la videollamada o grabarla sin el permiso de los demás.

Comentarios

Otras Noticias