Zoom es probablemente una de las aplicaciones más instaladas en los últimos días a nivel mundial para mantener en contacto en pleno confinamiento por el coronavirus mediante videoconferencias a trabajadores, familiares y amigos. Pero un fallo de seguridad en usuarios de Windows puede permitir que los ciberdelincuentes, que siempre buscando víctimas para sus estafas, roben datos personales.
El fallo de seguridad
Según indica la Oficina de Seguridad del Internauta, información de la que se ha hecho eco la Guardia Civil, se ha hecho pública una vulnerabilidad en la versión para Windows de la famosa aplicación de videoconferencia Zoom.
Este fallo de seguridad “podría explotarse enviando un enlace a la víctima, que en el caso de hacer clic, enviaría su nombre de usuario y el hash de su contraseña de Windows (un código único generado automáticamente a partir de la contraseña) al atacante”.
Aunque la contraseña no sea visible, si no fuera lo suficientemente robusta, podría ser deducida con facilidad. Además, utilizando la misma vulnerabilidad, el atacante podría ejecutar archivos y programas en el equipo de la víctima.
Las explicaciones de Zoom
La compañía ha emitido dos comunicados en los que admite el fallo y señala todos los procesos que han adoptado para corregir tanto este como otros preexistentes. Según narran desde Zoom, su se disparó de la noche a la mañana, superando con creces lo que esperaban, con más de 90.000 escuelas en 20 países y más de 200 millones de usuarios en reuniones diarias.
Periodistas e investigadores de seguridad han ayudado a identificar fallos nuevos y antiguos, y por parte de Zoom se han realizado todo tipo de acciones de formación y capacitación tanto en el uso de la herramienta como en la resolución de problemas de acoso (llamado “Zoombombing”) con intrusos en las conversaciones.
La empresa señala que se tomaron medidas para eliminar el SDK de Facebook en los clientes iOS y lo reconfiguraron para evitar que recopilase información innecesaria del dispositivo de los usuarios, la primera de las acusaciones que se realizaron contra ella.
Asimismo, afirma haber actualizado su política de privacidad para ser más “claros y transparentes” sobre los datos que recogen y usan, especificando claramente que “no venden los datos de sus usuarios”.
La solución
La nueva vulnerabilidad detectada afecta a los usuarios de Zoom para Windows con versiones anteriores a la 4.6.9, por lo que se recomienda actualizar la aplicación lo antes posible.
Desde INCIBE, a través de la Oficina de Seguridad del Internatua, recomiendan “mantener las aplicaciones y programas correctamente actualizados. Y si la configuración lo permite, activar la opción de actualización automática para que siempre que se publique una actualización que corrija fallos de seguridad, se instale lo antes posible”.
Consecuencias del fallo de seguridad
A pesar de que el problema parece estar solventado o en proceso, lo cierto es que Zoom va a verse afectada por todo este fallo de seguridad.
Según BuzzFeed News, Google habría iniciado una campaña interna para prohibir a sus empleados el uso del popular software de videoconferencias en sus portátiles.
Financial Times señala que el Senado estadounidense también ha pedido a sus miembros que no usen la aplicación y ha instado a buscar una plataforma alternativa para el trabajo en remoto.
Taiwán, Alemania, la compañía SpaceX de Elon Musk serían otros clientes perdidos para Zoom.
Deja un comentario