¿Es la plataforma ZOOM realmente insegura?

zoombombing_portada

¿Es la plataforma ZOOM realmente insegura?

Este pequeño artículo quiere condensar la información aparecida estos últimos días y aclarar si la plataforma ZOOM es realmente tan insegura y peligrosa como la pintan en algunos medios a raíz del alud de artículos y notas de prensa al respecto.

La plataforma ZOOM, ha resultado todo un bombazo en estas fechas como digno sucesor de Skype y Netmeeting por la capacidad de generar videochats entre varias personas a la vez de manera rápida y cómoda. Tanto es así que su cotización en bolsa (https://www.nasdaq.com/articles/5-metrics-behind-zoom-videos-soaring-stock-price-2020-03-30) se ha disparado, tanto que precisamente ha aumentado a la vez su exposición al mercado y obviamente centrado las miradas de los hackers.

zoombombing01

Recientemente y aprovechando este boom, muchos medios de comunicación se han dedicado a lanzar mensajes de alarma alertando de los peligros de usar esta aplicación. Mensajes obviamente muy alarmistas y que como veremos a continuación no son tan graves como lo muestran ni nos perjudican en la misma manera.

Es por ello, que en referencia a las inquietudes en relación a ciertos problemas de seguridad con la aplicación y como la seguridad de nuestros alumnos es lo primero, pasamos a hacer una relación de las principales incidencias que han ocurrido con esta plataforma y fallos de seguridad. Como se podrá observar, tanto los problemas en sí, no lo son, y los de seguridad no afectan a nuestro sistema de trabajo y mucho menos a nuestros estándares de calidad.

 

Las videollamadas no son seguras porque no son encriptadas

zoombombing02

https://www.tuexperto.com/2020/04/01/cuidado-con-zoom-podrian-espiar-tus-videollamadas/

Zoom es considerado un software para reuniones de trabajo o videoconferencias, es por ello que priman velocidad ante seguridad de transmisión, así que las video-transmisiones no están encriptadas de punto a punto (E2E) pero al menos tienen un protocolo de encriptación de TLS con AES, es decir, la transmisión es encriptada (cuando transmites si hay alguien en tu red o wifi que esté registrando las comunicaciones, esta no podrá acceder a la información porque está encriptada), pero esta se desencripta cuando llega a los servidores de ZOOM y se vuelve a encriptar cuando se retransmite a la otra u otras personas, es decir, el único momento que no está encriptada es cuando está en los servidores de ZOOM siendo procesada (con una encriptación E2E no pasaría esto pero sería mucho más costoso).

zoombombing02b

Informe: https://theintercept.com/2020/03/31/zoom-meeting-encryption/

¿Es peligroso? Solo si la empresa violase el contrato de confidencialidad cosa que está penado por ley. Se trataría de un hacker que se hiciese con el control de los servidores de la compañía cosa poco segura.

¿Nos afecta? Para nada, por dos motivos:

Nuestras transmisiones son para clases, seminarios y consultas, cosa que no implica problemas de privacidad en absoluto ya que no tratamos con datos personales de ningún tipo.

La encriptación es válida en redes locales y wifi que es donde se lleva a cabo el 90% de los casos del espionaje de red, así pues, seguimos cubiertos y completamente seguros.

 

Tráfico de datos privados con Facebook

zoombombing03

https://twitter.com/TecnoXplora/status/1245410601490358274

Hace referencia a esta noticia:

https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account

Por lo visto, la aplicación de IOS tenía un fallo de programación cuando se conectaba, usaba una API gráfica de Facebook (sin importar si eras o no usuario de esta red). Como todas las API’s de terceros (como Google), generan un número único de cliente, es decir, te marcaba haciendo uso de su API (pero nada más solo como un usuario, sin datos personales).

Así pues, técnicamente, Facebook sabe cuándo usas zoom pero nada más (ni destinatarios ni contenidos de reuniones ni tipos, solo “uso”).

El problema con esto es que Zoom debería haberlo avisado en su listado de políticas de uso (CLUF, eso que aceptamos al instalarlo). Es por eso, que está bajo inspección del gobierno federal, por si se han saltado alguna cosa más.

Por otro lado, cuando aceptas su CLUF (solo para usuarios registrados), se da la opción de usar Facebook y otros servicios para publicar automáticamente las invitaciones, es por ello que hay un tráfico de información entre ambos servicios, esto sí que está anunciado.

zoombombing04

*Ejemplo divertido del CLUF al inicio de instalación de programas.

¿Es peligroso? En absoluto, el malentendido es porque esto se daba sin avisar al usuario.

¿Nos afecta? Solo si tenías una versión antigua de la aplicación de Zoom en IOS o bien eres un usuario registrado de Facebook y Zoom y decides hacer uso del sistema automatizado de publicación de invitaciones.

https://www.vice.com/en_us/article/z3b745/zoom-removes-code-that-sends-data-to-facebook

Además, ya fue arreglado hace tiempo.

Filtración de contraseñas de Windows

zoombombing05

https://www.lasexta.com/tecnologia-tecnoxplora/apps/zoom-apps-preferidas-cuarentena-puede-filtrar-contrasena-windows_202004015e847803e70eb30001516bc1.html?so=so%3Asour-twitter%3Acn-tecnoxplora

BleepingComputer (una web de ciberseguridad muy conocida por sus herramientas antispyware) se dio cuenta y alertó sobre este problema de seguridad en este mismo mes:

https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/

Se refiere al hecho de que si alguien comparte una dirección en el chat privado:

zoombombing06

La dirección de este tipo se llama UNC y sirve para conectarse en red local a otros equipos, si hacemos clic en ella, nuestro ordenador conectaría y como usa un protocolo sin seguridad (porque envía credenciales de red con encriptación débil, los SMB se han dejado de usar por seguridad) el receptor recibiría las credenciales de red por defecto, es decir tu usuario y contraseña de red.

Obviamente este fallo no afecta a usuarios normales, solo a empresas que usen sistemas de conexión de red anticuados. Y solo si pasase esto:

  1. EL hacker es una de las personas con las que tenemos reunión y chat en esa sesión.
  2. El hacker debe estar en nuestra misma red
  3. Nos envía un link y nosotros hacemos clic en él
  4. Además, esta persona está monitorizando la red desde un nodo central
    zoombombing07

    Este es un programa que capta transmisiones por red

  1. Luego, con ayuda de otro programa, se desencripta la contraseña.zoombombing08

Como se puede ver, este problema solo representa una vulnerabilidad para las redes corporativas y ante un ataque “desde dentro”, cosa bastante difícil y con una concatenación de eventos.

 

Ejecución de programas indeseados

Otro problema derivado de esto, es que también puede hacer que ejecutes programas en tu ordenador sin darte cuenta:

zoombombing09

Usando esta línea arrancamos un programa en nuestro ordenador (la calculadora)

Precisamente usando la característica antes mencionada. El problema de esto es que, si por ejemplo un hacker hubiese ubicado en nuestro ordenador un programa maligno, nosotros podríamos ejecutarlo, pero obviamente, esto no serviría de mucho ya que primero el sistema nos alerta siempre cuando hemos de ejecutar un programa que puede realizar cambios en el equipo:

zoombombing10

Y después, debería de enfrentarse con nuestro antivirus…. Eso quiere decir que las posibilidades de éxito son nulas, ahora bien, no deja de ser un “exploit” y, por lo tanto, urge ser remendado por Zoom

¿Nos afecta? Para el primer caso, solo si somos un usuario de red corporativa, el segundo sí, pero si tienes un Windows 7 con antivirus o un Windows 10 (lleva el defender integrado), no debe preocuparnos, ya que en el peor de los casos el propio sistema detendría la ejecución.

¿Es peligroso? El primer caso sí que lo era para una red con seguridad precaria, ya que es una vulnerabilidad que afecta a redes que usen exclusivamente compartición de archivos por SMB (son antiguas o muy mal diseñadas ya que de hace tiempo se conoce su vulnerabilidad y hoy en día se aplican muchas más medidas de seguridad). El segundo en cambio no, porque la unión de “y si” hacía que fuese muy complicado que llegase a algo el ataque.

Además de que el programa ha sido debidamente parcheado a día de hoy.

zoombombing11

ZOOMBOMBING

zoombombing11b

Es un fenómeno que lleva desde sus inicios en Zoom, y es la posibilidad de que gente ajena a la reunión se pueda unir a esta, simplemente “adivinando” el número de sala (básicamente prueban a usar una combinación aleatoria de dígitos por si con suerte entran en alguna “interesante” …. Esto es debido al como se generan las salas de reunión:

Aquí tenemos una invitación para una sala sin contraseña:

https://zoom.us/j/293315715

Estos números del final (293315715) es la “sala de reunión”, si por ejemplo teclease este número porque lo he generado aleatoriamente, nada me impediría acceder a la reunión. Además, el sistema ya te avisa:

zoombombing11b

Aquí tenemos una invitación que usa contraseña:

https://zoom.us/j/105876247?pwd=MmdBbWJ5VUp2QWN1bm04cmg1QVpxUT09

*Esta última es solo si activamos la opción (está por defecto actualmente)

zoombombing12

Como puedes ver, la sala ahora requiere una cadena larga de dígitos en la invitación, esto hace imposible que una persona ajena tenga la “suerte” de adivinar esta combinación.

¿Nos afecta? Todos los webcasts los publicamos con contraseña de sala, así que no.

¿Es peligroso? Solo si haces reuniones privadas y sin contraseña, hay posibilidad de que alguna persona ajena, se cuele, así pues, tú mismo.

 

Medidas de seguridad adicionales si quieres trabajar con ZOOM, evita el “ZOOMBOMBING”

El “zoombombing” no deja de ser una manera específica de etiquetar a los “trolls” de las reuniones, gente que puede arruinar las reuniones o chats entre varias personas, es por ello que es adecuado que sigas los consejos de seguridad que dan en la siguiente página:

https://techcetera.co/zoom-bombing-y-como-proteger-sus-llamadas-de-zoom-de-visitantes-inesperados/

En nuestro caso, como ya cumplimos normas estrictas de seguridad (en cumplimiento de LOPD y RGPD) y de control de acceso de usuarios.

 

Últimos Consejos

Aún y así, nosotros como empresa no queremos obligar a ninguna persona a ceder datos personales de ningún tipo y velamos por vuestra privacidad, tenemos una serie de consejos si quieres asistir a nuestros seminarios y clases online:

Si te vas a conectar, puedes elegir el navegador para no instalar nada en tu ordenador.

zoombombing13

Si decides instalarlo (es recomendable, ya que la experiencia de video es más fluida), no hace falta que te registres ni crees ninguna cuenta, salvo que tengas pensado de usarlo para hacer videoconferencias:

zoombombing14

De esta manera no tendrás que ceder datos personales (para acceder a las clases no necesitas registrarte, solo proporcionar un nombre con el que te verá el resto de la gente y tu profesor a través del control de usuarios).

 

Y hasta aquí, todo lo destacable sobre la nueva herramienta llamada ZOOM. Como puedes ver, al final todo ha sido mucho ruido pero pocas nueces… Obviamente si necesitas un sistema que transmita conferencias completamente encriptadas punto a punto (se llama E2E), tendrías que optar por otras plataformas.

Ahora bien, ¿Es por eso insegura ZOOM? ¡En absoluto! Pero recuerda que siempre que transmitas algo por teléfono, portátil, o cualquier otra plataforma, nunca puedes estar seguro que alguien no deseado pueda estar vigilando, piensa que el mercado es global y fallos de seguridad surgen constantemente, pero las propias empresas se esfuerzan en “tapar” estos agujeros de seguridad rápidamente.

Y si aún así tienes alguna duda más, ¡no olvides contactar con nosotros!

Escribe un comentario