Zoom atrapado en el debate sobre ciberseguridad: aquí está todo lo que necesita saber

Zoom Ciberseguridad

En las últimas semanas, el uso del software de videoconferencia Zoom ha explotado desde que surgió la plataforma elegida para organizar todo, desde reuniones de gabinete hasta clases de yoga en medio del brote de coronavirus y el trabajo desde el hogar se convirtió en la nueva normalidad.

La aplicación se ha disparado a 200 millones de usuarios diarios de un promedio de 10 millones en diciembre, junto con un aumento del 535 por ciento en el tráfico diario a su página de descarga en el último mes, pero también ha visto un aumento masivo en los problemas de Zoom, todos los cuales se derivan de prácticas de diseño descuidadas e implementaciones de seguridad.

Es posible que Zoom nunca haya diseñado su producto más allá del chat empresarial inicialmente, pero ahora que la aplicación se está utilizando de innumerables maneras y por parte de los consumidores habituales, el alcance completo de las fallas de la compañía se ha convertido en un enfoque nítido, algo que pudo evitar todo esto hora.

Pero si este escrutinio público puede convertirlo en un producto más seguro, solo puede ser algo bueno a largo plazo.

Una lista de problemas de lavandería

El rápido ascenso repentino de Zoom como un servicio crítico de comunicaciones lo ha llevado a ahogarse en un mar de fallas de privacidad y seguridad.

¿Pero Zoom es un malware?

Como informó The Guardian, algunos expertos creen que sí. Pero no, Zoom no es malware. Por el contrario, es una pieza de software legítimo que, desafortunadamente, está llena de vulnerabilidades de seguridad y ahora estamos llegando a conocerlo ya que la aplicación nunca antes se analizó a fondo.

  • La política de privacidad de Zoom fue criticada por permitir recopilar datos extensos sobre sus usuarios, como videos, transcripciones y notas compartidas, y compartirlos con terceros para obtener ganancias personales. El 29 de marzo, Zoom endureció su política de privacidad para afirmar que no utiliza datos de reuniones para ninguna publicidad. Pero sí utiliza los datos cuando las personas visitan sus sitios web de marketing, incluidas sus páginas de inicio zoom.us y zoom.com.
  • La aplicación iOS de Zoom, como muchas aplicaciones que usan Facebook SDK, se encontró enviando datos analíticos a la red social incluso si el usuario no tiene un enlace Facebook cuenta. Más tarde, eliminó la función.
  • Zoom pasó por debajo de la lente por su función de “seguimiento de asistentes”, que, cuando está habilitada, le permite al anfitrión verificar si los participantes hacen clic fuera de la ventana principal de Zoom durante una llamada. En abril 2, eliminó permanentemente la función de seguimiento de atención del asistente. Un anfitrión de una reunión de Zoom también puede leer mensajes de texto privados enviados durante la llamada si se graba localmente.
  • El investigador de seguridad Felix Seele descubrió que Zoom utiliza una técnica “sombría” para instalar su aplicación Mac sin interacción del usuario, utilizando “los mismos trucos que utiliza el malware macOS”, permitiendo así que la aplicación se instale sin que los usuarios den su consentimiento final. En abril 2, Zoom emitió una solución para resolver el error.
  • Los investigadores descubrieron una falla en Zoom’s Windows aplicación que lo hizo vulnerable a la vulnerabilidad de inyección de ruta UNC ‘que podría permitir a atacantes remotos robar víctimas’ Windows credenciales de inicio de sesión e incluso ejecutar comandos arbitrarios en sus sistemas. Se emitió un parche en abril 2 para abordar esta falla y otros dos errores reportados por Patrick Wardle que permiten a los malos actores obtener privilegios de root y acceder al micrófono y la cámara en macOS, lo que permite una forma de grabar las reuniones de Zoom.
  • Zoom se encontró usando una función de minería de datos no revelada que combinaba automáticamente los nombres de los usuarios y las direcciones de correo electrónico con sus perfiles de LinkedIn cuando iniciaban sesión, incluso si eran anónimos o usaban un seudónimo en su llamada. Si otro usuario de su reunión se suscribió a un servicio llamado LinkedIn Sales Navigator, pudieron acceder a los perfiles de LinkedIn de otros participantes en sus reuniones de Zoom sin el conocimiento o consentimiento de esos usuarios. En respuesta, Zoom ha deshabilitado la función.
  • Vice reveló que Zoom está filtrando las direcciones de correo electrónico y fotos de miles de usuarios, y está permitiendo que extraños intenten iniciar llamadas entre ellos. Esto se debe a que los usuarios con el mismo nombre de dominio en su dirección de correo electrónico (proveedores de correo electrónico no estándar que no son Gmail, Outlook, Hotmail o Yahoo!) se agrupan como si trabajaran para la misma empresa. Zoom incluyó en la lista negra estos dominios.
  • En abril 3En 2020, el Washington Post informó que era trivial encontrar grabaciones de video realizadas en Zoom al buscar el patrón común de nombres de archivos que Zoom aplica automáticamente. Estos videos se encontraron en acceso público Amazon cubos de almacenamiento.
  • Los investigadores crearon una nueva herramienta llamada “zWarDial” que busca ID de reunión Zoom abierta, encontrando alrededor de 100 reuniones por hora que no están protegidas por ninguna contraseña.
  • Las afirmaciones de Zoom de que utiliza cifrado de extremo a extremo para asegurar las comunicaciones demostraron ser engañosas. La compañía declaró que en una reunión donde cada participante está utilizando un cliente Zoom y que no se está grabando, todo tipo de contenido (video, audio, uso compartido de pantalla y chat) se cifra en el lado del cliente y nunca se descifra hasta que llega a los otros receptores. Pero si uno de los servicios de valor agregado, como la grabación en la nube o la telefonía de marcado, está habilitado, Zoom tiene acceso a las claves de descifrado, que actualmente mantiene en la nube. Esto también facilita que los “piratas informáticos o una agencia de inteligencia del gobierno obtengan acceso a esas claves”, dijo el experto en seguridad Matthew Green.
  • La investigación posterior realizada por Citizen Lab descubrió que también eran vagos sobre el tipo de cifrado utilizado, con las claves generadas para las operaciones criptográficas “entregadas a los participantes en una reunión de Zoom a través de servidores en China, incluso cuando todos los participantes de la reunión, y la compañía del suscriptor de Zoom, están fuera de China “. El audio y el video en cada reunión de Zoom se cifran y descifran con un solo AES-128 utilizado en modo ECB que se comparte entre todos los participantes. No se recomienda el uso del modo ECB porque los patrones presentes en el texto sin formato se conservan durante el cifrado.
  • El CEO de Zoom, Eric S. Yuan, respondió a los hallazgos de Citizen Lab, afirmando que dado el período de alto tráfico, se vieron obligados a agregar capacidad de servidor rápidamente, y “en nuestro apuro, agregamos por error nuestros dos centros de datos chinos a una larga lista blanca de puentes de respaldo, potencialmente permitiendo que clientes no chinos, bajo circunstancias extremadamente limitadas, se conecten a ellos “.
  • Luego está Zoombombing, donde los trolls aprovechan las reuniones abiertas o sin protección y las configuraciones predeterminadas deficientes para hacerse cargo del intercambio de pantalla y transmitir pornografía u otro material explícito. El FBI emitió una advertencia, instando a los usuarios a ajustar su configuración para evitar el secuestro de videollamadas. A partir de abril 4, Zoom comenzó a habilitar la función Sala de espera (que permite que el anfitrión controle cuándo un participante se une a la reunión) y solicite a los usuarios que ingresen una contraseña para evitar abusos desenfrenados.

¿Deberías usar Zoom o no?

Para dar crédito a su debido tiempo, Zoom respondió en gran medida a estas revelaciones de manera rápida y transparente, y ya ha solucionado varios problemas destacados por la comunidad de seguridad.

Además, la compañía ha anunciado un congelamiento de 90 días en el lanzamiento de nuevas funciones para “identificar, abordar y solucionar problemas de manera proactiva”. También tiene como objetivo realizar una revisión exhaustiva con expertos de terceros y publicar un informe de transparencia que detalle la información relacionada con las solicitudes de datos, registros o contenido de las fuerzas del orden público.

En última instancia, todo se reduce a esto: ¿debería continuar usando Zoom? Sería fácil observar todos estos defectos y decir que las personas simplemente deberían mantenerse alejadas de Zoom. Pero no es tan simple.

Curiosamente, por primera vez, estamos presenciando diferentes opiniones de expertos en la comunidad de ciberseguridad. Algunos dicen que está mal criticar a Zoom en esta fase crítica de tiempo cuando el software está ayudando a las personas a hacer su trabajo de forma remota, mientras que otros creen que es mejor abandonar la plataforma por otras alternativas.

Sin embargo, algunos también adoptaron una postura neutral, concluyendo que elegir Zoom depende totalmente del modelo de amenaza de un individuo.

El hecho de que Zoom haya diseñado e implementado su propio cifrado es una gran señal de alerta, ya que los esquemas personalizados no se someten al mismo escrutinio y revisión por pares que los estándares de cifrado que todos usamos hoy en día.

“Los problemas de seguridad más importantes con Zoom rodean características deliberadas diseñadas para reducir la fricción en las reuniones, que también, por diseño, reducen la privacidad o la seguridad”, escribió Citizen Lab en su informe.

La conclusión más importante para los usuarios habituales es simplemente pensar cuidadosamente sobre sus necesidades de seguridad y privacidad para cada llamada que realicen. La seguridad de Zoom probablemente sea suficiente si es solo para conversaciones casuales o para celebrar eventos sociales y organizar conferencias.

Para todo lo que requiere compartir información confidencial, hay opciones más seguras como Jitsi, Signal y Wire autohospedados.

Citizen Lab, que ha identificado un problema grave de seguridad con la función de sala de espera de Zoom, ha alentado a los usuarios a utilizar la función de contraseña para un “mayor nivel de confidencialidad que las salas de espera”.

Entonces, si está preocupado por ser Zoombombed, establezca una contraseña de reunión y bloquee una reunión una vez que todos los que necesitan unirse se hayan unido. Para obtener más consejos sobre cómo hacer que las llamadas de Zoom sean seguras, puede leer la práctica guía de EFF aquí.