Zoom, la app de servicio de videollamadas, se comprometió a mejorar su seguridad, luego de las denuncias que han sacado a relucir fallas en la privacidad para sus usuarios. La aplicación tuvo un crecimiento explosivo de usuarios que comenzaron a utilizar sus prestaciones para clases virtuales y reuniones con familiares y amigos en el último año. El crecimiento de la empresa, según informaron desde la compañía, pasó de 10 millones a 200 millones de videollamadas por día.

«Para poner en contexto el crecimiento que tuvo Zoom, en diciembre el servicio contaba con 10 millones de usuarios diarios, tanto en planes gratuitos como pagos. Ahora, en marzo alcanzamos los 200 millones de personas que participan en las reuniones virtuales todos los días. Hemos trabajado contra reloj para que todos los usuarios puedan estar en contacto», dijo Eric Yuan, CEO de Zoom, a través de un comunicado publicado en el blog oficial de la compañía.

Durante la actual cuarentena en el mundo, el uso de Zoom creció 1840%, seguida de Webx de Cisco y Skype de Microsoft con un 120% y un 100%. Sin embargo, aunque la herramienta ha mostrado las virtudes de este servicio utilizado por las empresas y profesionales, también ha puesto en evidencia muchas de las falencias en cuestiones de privacidad y seguridad ante la demanda del público masivo durante la cuarentena por la pandemia de Coronavirus.

En tal sentido, la compañía se propuso un plan de 90 días para resolver todas estas fallas. Según el director de la compañía, Zoom es una plataforma enfocada en resolver las necesidades de los usuarios corporativos y profesionales, y que no fue diseñada para el amplio mercado del consumidor final.

«En unas semanas, la compañía tuvo que adaptarse para enfrentar la demanda de cada persona que tuvo que cambiar de forma drástica sus actividades. Por este motivo enfrentamos grandes desafíos que no anticipamos cuando creamos nuestro servicio», dijo el ejecutivo.

De igual manera, agradeció el aporte de usuarios, periodistas e investigadores que identificaron y revelaron los problemas de seguridad y privacidad de la plataforma. Yuan mencionó que los usuarios han denunciado problemas de acoso online denominado Zoombombing, una falla que permitía el acceso aleatorio a reuniones virtuales y los cuestionamientos de privacidad relacionadas con Facebook y la versión de Zoom para iOS, entre otros.

Las fallas

La aplicación Zoom tiene una versión gratuita y otra paga. La más utilizada es la gratuita y entre sus usuarios han salido a relucir problemas de inseguridad. Las vulnerabilidades detectadas permiten robar información confidencial e instalar programas para controlar la computadora de quien emplea la aplicación, como el acceso al micrófono y a la cámara de video de varias PC.

La popularidad de la aplicación, así como subió, empezó a bajar tras esta información; porque Zoom, entre otros usuarios, ha sido utilizada por autoridades gubernamentales de varios países. Por su parte, desde Windows detectaron robo de credenciales de acceso a los usuarios que hacen clic en el enlace para unirse a una reunión.

Según explicaron especialistas, en todas las versiones de Windows hasta la 4.6.8 (19178.0323) se detectó dicha vulnerabilidad. Además, las inyecciones UNC también se pueden usar para iniciar programas en una computadora local cuando se hace clic en el enlace.

Para evitar este tipo de ciberataques recomiendan establecer en la configuración de Windows la restricción del tráfico NTLM a servidores remotos. Para hacerlo hay que ir al menú de Configuración de Windows, luego ingresar en Ajustes locales/ Opciones de seguridad/ Seguridad de red y seleccionar la opción “denegar todos” en la restricción de NTLM a servidores remotos.

Por otro lado, en MacOS se identificaron ataques con malware. Zoom utiliza una técnica para instalar la aplicación de Mac sin interacción del usuario. De esa forma un hacker podría instalar un código malicioso para obtener privilegios de usuario. O sea, el atacante puede acceder al sistema operativo MacOS, lo cual facilitaría la ejecución de malware o spyware sin que el usuario se dé cuenta.

El otro ataque que se ha dado en MacOS es que un cibernauta puede controlar el micrófono y cámara web de la computadora sin autorización del propietario. En estos casos el hacker inyecta un código malicioso en Zoom para engañarlo y obtener acceso a la cámara web y al micrófono sin autorización.

Hace unos días, The Washington Post reportó que con una simple búsqueda fue posible acceder a videos de Zoom hospedados en la nube sin necesidad de utilizar una contraseña. Esto se sumaba a la lista de vulnerabilidades que han puesto en la mira las opciones de privacidad que ofrece la aplicación.

Los videos fueron grabados con el software de Zoom y almacenados en la nube, una opción que se ofrece en los usuarios del servicio. Sin embargo, la plataforma no ofrece protección a sus usuarios ya que las conversaciones se encontraban sin cifrar y cualquier persona podía acceder a los videos.

Según el medio de comunicación, fue el ex investigador de la NSA, Patrick Jackson, quien con una simple búsqueda en Internet pudo acceder a los videos ya que Zoom nombra cada uno de ellos de manera idéntica. El investigador también sostiene que con un ajuste al modo como Zoom nombra los videos podría dificultar el acceso de terceros. Asimismo, una revisión a las opciones de privacidad por parte de los usuarios no estaría mal, sobre todo aquellas referentes a almacenar y compartir la información con terceros.

Videoconferencias y seguridad

En un reportaje con respecto a las fallas de Zoom, BBC entrevistó a Josh Davies, analista de ciberseguridad en la empresa Alert Logic en Londres, quien dijo que mientras nos aseguremos de tener la última actualización, «un ataque cibernético no debe ser una preocupación».

El experto reconoce que, debido al incremento de usuarios de estos servicios, la red de los hogares se ha convertido en un objetivo más atractivo que antes:

«Desde nuestro análisis, la mayor preocupación en ciberseguridad ahora mismo es el incremento del número de correos electrónicos que, utilizando una dirección muy similar a la de un miembro de la compañía, incluyen un link que lleva al usuario a un sitio malicioso o pide credenciales que se usan en un sitio web falso.»

Alan Woodward, miembro de la Universidad de Surrey en Reino Unido, asegura que «no hay evidencia de que Zoom experimente problemas en sus últimas versiones pero en estos tiempos conviene usar sistemas que están probados y verificados». «Lo que sea que uses, asegúrate que sea la última versión», aconsejó Woodward.

En el caso de Zoom, el consultor de ciberseguridad Graham Cluley le dijo a la BBC que «mucha gente está usando este servicio por primera vez, sin siquiera leer los términos y condiciones, y clicando sí a todo para conectarse». En ese sentido, Cluley advirtió que tanto «Zoom como otras aplicaciones de videollamada ofrecen un servicio valioso, pero hay que ser cuidadosos a la hora de conectarse».

En todo caso, los siguientes serían los aspectos que preocupan al hacer uso de este tipo de aplicaciones:

• El organizador de una llamada de Zoom puede monitorear las actividades de los participantes cuando comparten pantalla, viendo si las ventanas de la aplicación están activas o no.
• Permite a los administradores ver los paneles de actividad de usuario, incluyendo un ranking de usuarios basados en el número total de minutos de reunión.
• Si un usuario graba una conversación, los administradores pueden acceder a los contenidos.
• Durante las reuniones, los administradores pueden ver el sistema operativo, la dirección IP, los datos de localización e información sobre el dispositivo de cada participante.