Las videoconferencias Zoom: ¿ya son suficientemente seguras?
Nuestra conclusión es que, pese a haber mejorado ciertos aspectos, su seguridad sigue en entredicho
Ante el gran crecimiento en el uso de la aplicación de videoconferencias Zoom, hace unos días nos preguntábamos si sus términos de uso respetaban la privacidad de los usuarios, y nuestra conclusión era que sí, que estaba en línea con la mayoría de aplicaciones y servicios, y que en este sentido no era ni mejor ni peor que muchos otros.
Pero las polémicas con Zoom han continuado, y muchos de vosotros nos habéis preguntado cuán segura es esta aplicación de videollamada (en sus diversas versiones para las distintas plataformas) y el sistema de videoconferencias que proporciona.
En este caso, nuestra conclusión, y ya me adelanto a los acontecimientos, debe variar, recomendando al final que, si es posible, utilicéis otra app equivalente para la misma función, pero distinta de la de Zoom.
Aquí van los porqués.
Las vulnerabilidades se parchean
Probablemente, el crecimiento en su uso ha pillado por sorpresa a la compañía que se encuentra detrás del servicio y que, de hecho, ha visto incrementar ostensiblemente su capitalización bursátil a lo largo de estos días de confinamiento.
Y digo lo de la sorpresa, porque debido a un programa de ‘cazabugs’ que la misma empresa ha reconocido como insuficiente, fueron detectados diversos agujeros de seguridad importantes entre finales de marzo y principios de abril, aunque estos ya han sido subsanados en las últimas versiones de las respectivas aplicaciones afectadas.
Uno de estos agujeros afectaba a la plataforma Windows, y permitía a un ciberdelincuente publicar un enlace especialmente diseñado en el chat de texto de una sala de conversaciones de Zoom, para hacerse con credenciales de acceso de la máquina local de quienes hicieran clic sobre el enlace.
Esto podría dar lugar a la inyección de código arbitrario en la máquina atacada y, por lo tanto, a la escalada de privilegios y la obtención del control de dicha máquina.
Este mismo fallo podía incluso ser explotado en la versión para macOS, aunque dependía de una mayor interacción del usuario afectado.
El problema es que, con el crecimiento en el uso del servicio de Zoom, muchos usuarios que llegan a la plataforma, pueden hacerlo con unos conocimientos escasos, y caer víctimas de ciberdelincuentes que utilicen técnicas de ingeniería social (dicho de modo más simple: engaños) para hacerse con su ordenador.
Otro fallo afectaba al instalador de la versión para macOS, y aunque su explotación no era sencilla (requería ser explotado de forma local y substituir un script), estaba ahí.
Y todavía otro fallo más, podía dar lugar a la sustitución de una librería en el espacio de confianza de en el que se ejecuta la aplicación de Zoom, dando con ello lugar a la ejecución de código arbitrario en la máquina afectada.
Dichos agujeros de seguridad ya han sido parcheados por Zoom, pero sigue preocupando el hecho de que hayan sido hallados en tal número en tan corto espacio de tiempo. Sin lugar a dudas, el crecimiento en su uso ha despertado el interés de los cibercriminales en utilizarla como plataforma de ataque.
Dudas sobre la encriptación en las videoconferencias Zoom
También a principios de este mes, Zoom tuvo que aclarar el uso del término “encriptación de extremo a extremo” (end-to-end) que hacía en sus comunicados.
Si este, para la comunidad de ciberseguridad, significa que las comunicaciones pasan encriptadas desde el origen hasta el destino, sin poder ser desencriptadas siquiera en los servidores de la empresa que proporciona el servicio, para Zoom significa que se encripta la comunicación sólo entre el cliente y los servidores de la empresa.
Esto, lisa y llanamente, significa que Zoom podría -teóricamente- meter las narices en nuestras conversaciones, aunque no que necesariamente lo esté haciendo. Y, de hecho, la misma compañía ha negado este particular.
No obstante, imaginemos que un asaltante externo gana acceso a los servidores de Zoom. Efectivamente, podría llegar a espiar alguna conversación. Si bien para nuestras charlas personales informales, esto puede parecernos de escasa importancia, el tema cambia cuando hablamos de reuniones corporativas de grandes multinacionales…
Y el tema se agrava cuando sabemos que Zoom tiene algunos servidores en territorio chino, y que las claves de encriptación pueden ir a parar a dichos servidores.
Por ley, el gobierno chino debe tener acceso a todos los sistemas informáticos que estén basados en su territorio, así que empresas que utilicen Zoom para sus reuniones virtuales, deben ser conscientes que sus conversaciones pueden acabar siendo espiadas por el gobierno chino.
Es por ello que grandes multinacionales como el banco británico Standard Chartered, o el gobierno de Alemania, han prohibido el uso de Zoom a sus trabajadores y miembros.
Datos de los usuarios en la Dark Web
Por si todo esto no fuera poco, recientemente un grupo de investigadores de la compañía Intsights anunciaba el descubrimiento de un paquete a la venta en la Dark Web que contenía los datos de poco más de 2.300 cuentas de usuarios de Zoom.
Entre estos, y además de cuentas personales, podían encontrarse también cuentas corporativas como, por ejemplo, las de bancos, consultoras, fabricantes de software, proveedores de servicios de salud…
En el mismo foro en el que fue hallada esta base de datos, los participantes hablaban abiertamente de las formas en las que era posible ganar acceso a las salas de conferencias de Zoom.
Conclusión: mejor no la utilices
Todos estos datos que he resumido aquí (obviamente, podría haber explicado más en profundidad, pero que me he permitido sintetizar para ofrecer una visión de conjunto) me llevan a una conclusión personal: si puedo evitar utilizar Zoom como herramienta de videoconferencias, así lo haré.
Me da la impresión que el súbito éxito ha revelado una seguridad deficiente que, en otras circunstancias y con una situación que hiciera menos necesario su uso, no se hubiera llegado a descubrir, y que precisamente el interés que ha despertado su uso por parte de los internautas confinados, ha puesto a la app y la compañía también en el foco de los ciberdelincuentes.
Incluso con los agujeros de seguridad parcheados, no podemos estar seguros de que no haya otros tan o más graves si cabe, ocultos en el código fuente de las aplicaciones, además de que los ciberdelincuentes pueden buscar otras formas de hacerse con acceso a nuestras conferencias o, incluso, a nuestros ordenadores a través de las aplicaciones en local de Zoom.