Zoom: problemas de seguridad con laa app de videollamadas, c¨®mo solucionarlos

Durante esta temporada de confinamiento las apps de videoconferencias han sido las grandes protagonistas para juntar a todos aquellos que tienen un dispositivo inteligente en casa. Esto tambi¨¦n va por los que tienen un PC, los que si tienen una c¨¢mara web tienen la posibilidad de hacer m¨¢s posibilidades de ver que les vean. Una de las aplicaciones de las que m¨¢s se ha hablado en estas semanas ha sido Zoom, la que por desgracia ha confirmado un fallo de seguridad.

Vulnerabilidad de Zoom con Windows

Puede que Skype, WhatsApp o Facebook Messenger se hayan postulado como algunas de las aplicaciones para conectarte con tus amigos. Todas ellas sirven para mandarte mensajes con quien t¨² quieras, pero una ha destacado frente al resto por su capacidad de aglutinar a varios usuarios en una misma sala. Su nombre es Zoom y si eres estudiante es posible que la hayas escuchado como alternativa a muchas otras para dar clase.

La herramienta es ¨²til si, pero por desgracia se ha descubierto un error en el c¨®digo que revela las contrase?as de los usuarios de Zoom: Varios usuarios han reportado una vulnerabilidad que es m¨¢s peligrosa de lo que parece. En primer lugar porque al parecer no se necesitan muchos conocimientos para explotarla, lo que hace muy sencillo hacerse con el control de las credenciales de los usuarios.

Esta vulnerabilidad podr¨ªa explotarse enviando un enlace a la v¨ªctima, que en el caso de hacer clic, enviar¨ªa su nombre de usuario y el hash de su contrase?a de Windows (un c¨®digo ¨²nico generado autom¨¢ticamente a partir de la contrase?a) al atacante.

C¨®mo arreglar el fallo de Zoom

La vulnerabilidad descubierta afecta al sistema operativo Windows, y podr¨ªa permitir a un ciberdelincuente robar el nombre de usuario de la v¨ªctima y el hash de su contrase?a de acceso al equipo. Aunque la contrase?a no sea visible, si no fuera lo suficientemente robusta, podr¨ªa ser deducida con facilidad. Adem¨¢s, utilizando la misma vulnerabilidad, el atacante podr¨ªa ejecutar archivos y programas en el equipo de la v¨ªctima.

La manera de explotarla consistir¨ªa en enviar a la v¨ªctima una serie de caracteres representando una ruta de red del estilo de ¡°\\direccion\ruta¡±, que la aplicaci¨®n de Zoom para Windows convertir¨ªa autom¨¢ticamente en un enlace. Si el usuario hace clic en este enlace, enviar¨ªa su nombre de usuario y el hash de su contrase?a de Windows al atacante.

Ampliar

Tras cambiar la contrase?a -lo primero-, y dado que la vulnerabilidad afecta a los usuarios de Zoom para Windows con versiones anteriores a la 4.6.9, la ¨²nica soluci¨®n es actualizar la aplicaci¨®n en cuanto puedas, instalando la ¨²ltima versi¨®n disponible directamente del Centro de Descargas de Zoom.

La falta de cifrado en Zoom

Este fallo en la seguridad de Zoom es muy grande, pero todav¨ªa hay m¨¢s. La firma ha confirmado que su sistema no cuenta con un encriptado punto a punto como muchas otras apps de mensajer¨ªa usan para cifrar los mensajes. Al parecer, la compa?¨ªa se cubre diciendo que su ¡°lectura del ¡®punto a punto¡¯ se refiere al intercambio de informaci¨®n entre los servidores de la propia Zoom. Por lo tanto, el tr¨¢nsito de datos queda expuesto hasta que llegan a sus servidores, siendo m¨¢s vulnerables que de costumbre.

Entonces ?qu¨¦ hacer en esta situaci¨®n? Actualizar y cambiar la contrase?a puede ayudar a evitar el primer problema, pero con el segundo poco se puede hacer ya que depende de la propia empresa mejorar su capa de seguridad.