¿Es seguro Zoom? Cómo proteger tus reuniones de Zoom

Zoom, un software de conferencias remotas fácil de usar, ha visto crecer su base de usuarios de manera exponencial en los últimos meses a medida que más personas trabajan desde casa debido a la pandemia de COVID-19. El fundador de Zoom, Eric Yuan, incluso declaró en una publicación de blog reciente que el número máximo de participantes de reuniones diarias (tanto usuarios gratuitos como premium) ha aumentado de unos 10 millones en diciembre a 200 millones en marzo.

Pero Zoom ha sido objeto de críticas últimamente debido al descubrimiento de una serie de vulnerabilidades de seguridad y malas prácticas de privacidad que se encuentran en su software. Los ciberdelincuentes también se están aprovechando de esas vulnerabilidades y del aumento en el uso de Zoom para bombardear reuniones y para engañar a los usuarios para que descarguen malware en sus dispositivos a través de sitios web falsos. Entonces, mientras Zoom continúa fortaleciendo sus propias medidas de seguridad, esto es lo que debes hacer cuando uses la plataforma para garantizar que tus reuniones de Zoom sean lo más seguras posible.

Los principales problemas de seguridad de Zoom

Exploremos cuáles son (o fueron) los mayores problemas de seguridad de Zoom.

Controversias de cifrado de extremo a extremo de Zoom

Zoom enfrentó críticas de la Comisión Federal de Comercio (FTC) por sus normas y políticas de cifrado «engañosas e injustas». Zoom les dijo a los usuarios que proporciona cifrado de extremo a extremo. Sin embargo, la FTC alega que almacena sus claves criptográficas en su servidor.

En una publicación de blog de abril de 2020, Zoom admitió que usaban el término «de extremo a extremo» de una manera diferente. Los datos primero van a los servidores de Zoom antes de llegar a la persona con la que se está comunicando. Como resultado, la gerencia de Zoom puede descifrar y ver las videollamadas y chatear de los clientes si así lo desean.

Zoom admite que almacena las claves criptográficas pero menciona que ha implementado controles internos robustos y validados para evitar el acceso no autorizado a cualquier contenido que los usuarios compartan durante las reuniones. Zoom nunca ha creado un mecanismo para descifrar reuniones en vivo con fines de interceptación legal.

Zoom agregó cifrado de extremo a extremo (E2E) para agregar una capa adicional de protección para abordar este problema. Esto significa que todas las transferencias de datos ocurrirán directamente entre dos clientes de Zoom sin que el servidor de Zoom sea un mediador.

Sin embargo, es importante tener en cuenta que este método de cifrado no forma parte de la configuración predeterminada para todas las llamadas de Zoom porque deshabilita algunas funcionalidades de Zoom. Por lo tanto, los usuarios deben habilitar el cifrado E2E manualmente para poder usarlo.

«Bombardeos de zoom» y alteraciones en las reuniones

Este es uno de los mayores problemas que ha aparecido en muchos titulares relacionados con los problemas de seguridad de Zoom. Históricamente, cualquier persona con un enlace o una identificación de la reunión de Zoom podía entrar a la sala de reuniones y escuchar a escondidas una conversación completa. Hubo algunos casos en los que personas no invitadas interrumpieron reuniones digitales para mostrar contenido inapropiado o hacer gestos ofensivos.

En un «bombardeo de Zoom», el anfitrión tenía poco o ningún control de la situación. No pueden decidir quién puede ingresar a la reunión, suspender las actividades del usuario o pausar las reuniones.

Básicamente, si suceden tales cosas, el anfitrión no tiene más opción que finalizar la reunión y reorganizar todo.

Zoom abordó los problemas del «Bombardeo de zoom» mediante la introducción de las siguientes funciones nuevas:

  • Creando una sala de espera
  • Hacer que las contraseñas sean obligatorias al unirse con un ID de reunión personal
  • Proporcionar la opción de eliminar las contraseñas de la URL de la reunión
  • Agregar función de reunión de bloqueo
  • Dar la opción de suspender las actividades de los participantes (pausando la reunión en lugar de finalizarla)
  • Permitir que los organizadores de la reunión decidan quién puede compartir la pantalla
  • Agregar autenticación de dos factores
  • Proporcionar varias opciones de transferencia de archivos para que el anfitrión pueda decidir qué tipo de archivos comparten los participantes a través del chat-box.

Incapacidad de Zoom para funcionar bien con dispositivos Apple

Hay muchas vulnerabilidades de iOS que los piratas informáticos explotaron a través de la aplicación Zoom y se dirigieron a los usuarios de Apple. Un investigador de seguridad mostró cómo podía encender las cámaras web de los participantes durante las llamadas, incluso si habían seleccionado la opción «apagar mi video al unirse a una reunión». También pudo hacer que los participantes se unieran a una reunión sin su permiso. Si los piratas informáticos utilizan dicho código, pueden convertir cualquier dispositivo Mac en una máquina espía con Zoom.

El investigador de seguridad Felix Seele también compartió sus preocupaciones sobre la forma en que Zoom se comporta como malware. Abusa de los scripts de preinstalación, se descomprime y se instala automáticamente en los dispositivos sin el consentimiento de los usuarios. También dijo que Zoom puede dar acceso root a usuarios no autorizados.

El hacker de Mac Patrick Wardle mostró cómo las personas locales no autorizadas pueden manipular o reemplazar en secreto códigos binarios para obtener privilegios de root.

Tanto Zoom como Apple han solucionado ese error en sus actualizaciones. Zoom cambió la configuración de su servidor web localhost, lo que permitió a los usuarios de Mac desinstalar la aplicación Zoom manualmente desde la barra de menú. También eliminó las aplicaciones RingCentral y Zhumu que usaban la tecnología de Zoom y se instalaban automáticamente en los dispositivos de los usuarios de Mac sin su conocimiento.

Problemas de manejo de datos de Zoom y preocupaciones de privacidad

Zoom enfrentó acusaciones de que comparte (o vende) los datos de los usuarios a Facebook.

Zoom admitió que ese intercambio de datos sucedió porque les dio a los usuarios la opción de iniciar sesión en Zoom a través de un kit de desarrollo de software (SDK) de Facebook. Después de eso, Zoom ha eliminado todos los códigos y el SDK de Facebook para evitar dicho intercambio en el futuro.

Sin embargo, había otro problema de manejo de datos con el que Zoom estaba lidiando. El 13 de abril de 2020, Bleeping Computer publicó un artículo en el que mencionaba que los datos de más de 500.000 cuentas de Zoom estaban a la venta en la web oscura. Los piratas informáticos ejecutaron ataques de relleno de credenciales para explotar las vulnerabilidades de seguridad de Zoom para obtener estos datos.

¿Y cuál fue la respuesta de Zoom a eso? Buena pregunta. No he visto ninguna respuesta de ellos al respecto.

Vulnerabilidad de Zoom a los ataques CSRF

Zoom tenía una vulnerabilidad de seguridad que podía permitir a los piratas informáticos ejecutar la falsificación de solicitudes entre sitios (CSRF) y descifrar la contraseña de reunión de seis dígitos en solo media hora. El investigador de seguridad Tom Anthony compartió lo fácil que es para los piratas informáticos encontrar la combinación correcta de contraseñas de reuniones de Zoom utilizando bots.

En la misma publicación del blog, Anthony compartió que Zoom desconectó el cliente web y solucionó la vulnerabilidad. La contraseña predeterminada ya no es de seis números; en cambio, es una combinación de caracteres alfanuméricos. Además, Zoom también ha permitido a los usuarios cambiar manualmente la contraseña predeterminada y hacerla más compleja agregando caracteres adicionales.

Problema de seguridad del cuadro de chat de Zoom

Los errores son un problema común con diferentes aplicaciones y software. Y la función de chat de Zoom no es diferente. Una empresa de ciberseguridad notó que los piratas informáticos podían enviar malware creando archivos GIF y fragmentos de código. Otro problema era que Zoom permitía a los usuarios enviar cualquier tipo de archivos en su cuadro de chat, incluidos:

  • Los archivos comprimidos son como archivos .zip,
  • Untitled.html,
  • Untitled.properties,
  • Untitled.rtf y
  • Untitled.txt.

Estos tipos de archivos pueden transportar fácilmente códigos maliciosos y dañar el dispositivo donde sea que estén almacenados. Zoom no valida el contenido de dichos archivos.

A pesar de la popularidad de los GIF, Zoom decidió deshabilitar su integración GIPHY para evitar este problema. Sin embargo, en lo que respecta a los tipos de archivos, Zoom ha dejado que los anfitriones de la reunión decidan qué tipos de archivos les gustaría permitir que los participantes compartan en el chat.

Vulnerabilidad de Zoom a los ataques de fuerza bruta

En la queja de la FTC contra Zoom, la comisión dijo que la compañía almacena las grabaciones de video de los clientes en un formato no cifrado durante 60 días en sus servidores. Significa que si los piratas informáticos irrumpen en los servidores y las bases de datos de Zoom, pueden acceder fácilmente a todos nuestros dos últimos meses de conversaciones.

Parte de los problemas se deben al hecho de que las grabaciones de reuniones de Zoom son fácilmente accesibles en la nube a través de patrones de URL predecibles. Esto es cierto incluso después de haber eliminado dichos videos de tu cuenta. Un investigador de seguridad creó una herramienta llamada «Zoombo» que puede forzar la plataforma Zoom, encontrar la contraseña y acceder a las grabaciones de las reuniones o ingresar a una reunión en vivo.

Zoom ha integrado la función «Captcha» para solucionar el problema, lo que hace que sea casi imposible que Zoombo o cualquier otro bot ejecuten ataques de fuerza bruta. Sin embargo, la estructura de las URL de las reuniones de Zoom sigue siendo la misma. No estamos seguros de si Zoom todavía almacena nuestras grabaciones en su servidor y, de ser así, por cuánto tiempo.

Los débiles mecanismos anti-manipulación de Zoom

El mecanismo anti-manipulación de Zoom tiene una vulnerabilidad. Todas las buenas aplicaciones tienen mecanismos anti-manipulación para proteger sus sistemas de ataques cibernéticos. Zoom también tiene uno, pero es débil. Un pirata informático puede eludir la biblioteca de enlaces dinámicos (DLL) anti-manipulación de Zoom.

DLL es una pieza de software que consta de comandos y códigos. Cada DLL está diseñado para realizar una función específica en toda la aplicación. Para evitar la manipulación, Zoom ha desarrollado DllSafeCheck.dll. En general, si un usuario inserta su propia DLL en una aplicación, el mecanismo anti-manipulación de la aplicación la bloquea o permite solo si esa DLL está firmada por Microsoft Authenticode. Además, la DLL anti-manipulación también debe estar anclada, lo que significa que si alguien intenta reemplazar la DLL original, la aplicación debe rechazarla.

Sin embargo, DllSafeCheck.dll de Zoom tiene una vulnerabilidad porque no está anclado y no verifica la autenticidad de la nueva DLL que no es de Zoom. Eso significa que el hacker no solo puede instalar una DLL maliciosa, sino también deshabilitar y reemplazar la DLL anti-manipulación de Zoom.

Zoom aún no se ha pronunciado sobre esta vulnerabilidad.

Problemas de seguridad de Windows de Zoom

ACROS Security mostró cómo Zoom permitió a los piratas informáticos insertar códigos maliciosos en los dispositivos de los usuarios de Windows (7 o versiones anteriores), acceder a ellos de forma remota y ejecutar código arbitrario. Desafortunadamente, los usuarios no verán ninguna advertencia de seguridad para tal ataque.

Zoom ha solucionado la vulnerabilidad emitiendo una versión parcheada de su software.

Zoom tiene conexiones con China

El Departamento de Justicia de Estados Unidos emitió una orden judicial contra un empleado chino de Zoom por filtrar información sobre reuniones y usuarios de Zoom al gobierno chino. Se le acusó de:

  • Suministro de información como direcciones de Protocolo de Internet, nombres y direcciones de correo electrónico de usuarios ubicados fuera de China.
  • Supervisar las reuniones de Zoom y finalizar cualquier reunión que se considere ilegal o inaceptable de acuerdo con las reglas del gobierno chino.
  • Suspender las cuentas de algunos usuarios que estaban involucrados en actividades ilegales sin ninguna prueba.

Zoom despidió a ese empleado y también respondió en el blog que mejoró significativamente sus controles de acceso internos. También dejó de vender servicios directos y en línea en China.

Cómo utilizar Zoom de forma segura

A continuación se muestra una descripción general de cómo garantizar que tus reuniones de Zoom sean lo más privadas y seguras posible.

Actualiza tu aplicación

No se puede dejar de enfatizar la necesidad de mantener tus aplicaciones actualizadas. Los proveedores de software publican regularmente actualizaciones para parchear vulnerabilidades conocidas en sus aplicaciones para mantener seguros a los usuarios. En general, se alienta a los usuarios a que adquieran el hábito de actualizar sus aplicaciones de vez en cuando para mantenerse seguros.

En respuesta a sus numerosos problemas de seguridad y privacidad, Zoom ha lanzado actualizaciones para corregir algunas de las vulnerabilidades conocidas. Las últimas actualizaciones de Zoom ocultan los números de ID de la reunión en la barra de título, incluyen un botón de menú de seguridad integrado en la barra de herramientas del organizador de la reunión y también mueven el botón de invitación.

Es probable que las actualizaciones de Zoom sigan llegando a medida que la compañía continúe luchando contra sus numerosos problemas de seguridad y privacidad.

Puedes actualizar tu aplicación Zoom mediante cualquiera de los siguientes métodos:

  • Automático: este método se descarga automáticamente o solicita al usuario que lo descargue cuando no hay una reunión en curso. Ofrece actualizaciones importantes con mejoras de funciones útiles y / o correcciones de errores críticos.
  • Manual: este método ofrece descargas ad-hoc con pequeñas mejoras y / o correcciones de errores menores. Puedes obtenerlo directamente desde el Centro de descargas o haciendo clic en «Buscar actualizaciones», debajo de tu foto de perfil o iniciales en la esquina superior derecha de tu aplicación de escritorio Zoom.

Establecer contraseñas de reuniones

Por simple que parezca, establecer una contraseña agrega una capa adicional de seguridad a tu reunión, especialmente para aquellas que están abiertas a todos. Afortunadamente, Zoom ha activado las contraseñas de forma predeterminada para nuevas reuniones, reuniones instantáneas, reuniones a las que te uniste con un ID de reunión y para reuniones de Zoom previamente programadas.

Se anima a los usuarios a aprovechar esas funciones para proteger sus reuniones. Pero recuerda que el objetivo principal de las contraseñas de la reunión se anularía si se comparten públicamente en Internet junto con un enlace o ID correspondiente.

Para configurar la contraseña de la reunión, sigue estos pasos:

  • Inicia sesión en tu cuenta web de Zoom y haz clic en «Reuniones» en la sección denominada «Personal» en el lado izquierdo.
  • Haz clic en «Programar una nueva reunión».
  • Desplázate hacia abajo hasta la sección «Contraseña de la reunión», aquí puedes establecer la contraseña de la reunión o utilizar la contraseña generada.

Utiliza ID de reunión aleatorios

Si estás utilizando ID de reunión en lugar de enlaces para organizar eventos públicos, asegúrate de utilizar una ID generada aleatoriamente en lugar de tu ID de reunión personal para organizar el evento público. Esta es una forma segura de evitar que tus reuniones en línea sean secuestradas.

La mayoría de las personas encuentran conveniente el uso de la identificación personal para reuniones, especialmente para reuniones que se celebran con frecuencia con equipos de trabajo. Pero esa conveniencia a veces puede dejar la reunión expuesta a los intrusos si conocen tu identificación. Si compartes públicamente tu ID de reunión personal, le permites a cualquiera que lo vea no solo unirse a la reunión programada, sino también bloquear tu espacio virtual personal en cualquier momento.

Sigue estos pasos para habilitar la identificación de reunión aleatoria:

  • Inicia sesión en tu cuenta web de Zoom y ve a Reuniones> Programar nuevas reuniones.
  • Desplázate hacia abajo hasta la sección «ID de reunión» y selecciona «Generar automáticamente».

Habilitar la sala de espera

La opción «Sala de espera» brinda a los usuarios el poder de bloquear a los invitados no deseados. La sala de espera es un lugar virtual donde se pone a las personas en espera. Es un método excelente para monitorizar quién ingresa a tu reunión. El anfitrión de la reunión puede examinar a los participantes antes de permitirles unirse a la llamada. Esta función se convertirá en una configuración predeterminada como parte de las últimas medidas de seguridad de Zoom.

Para habilitar la sala de espera al programar una reunión, sigue estos pasos:

  • Ve a la configuración de Zoom en la web y haz clic en «En reunión (avanzado)»
  • Habilitar «Sala de espera»

Desactivar «Transferencia de archivos»

Esto evita infecciones de aplicaciones maliciosas que se hacen pasar por archivos, especialmente durante eventos públicos con participantes desconocidos. Sigue los pasos a continuación para deshabilitar la transferencia de archivos:

  • Ve a la configuración de Zoom en la web y haz clic en «En Meeting Basic)».
  • Deshabilita «Transferencia de archivos» y haz clic en el botón «Guardar» para guardar la configuración en la parte inferior.

Inhabilitar «Permitir que los participantes eliminados se reúnan»

La desactivación de esta función evita que los participantes de la reunión eliminados anteriormente se vuelvan a unir. Sigue los pasos a continuación para desactivar esta función:

  • Ve a la configuración de Zoom en la web y haz clic en «En Meeting Basic)»
  • Deshabilita «Permitir que los participantes eliminados se reúnan» y haz clic en el botón «Guardar» en la parte inferior para guardar la configuración.

Desactivar «Unirse antes que el anfitrión»

La desactivación de esta función garantiza que ningún participante se una a la reunión antes que el organizador. Sigue estos pasos para desactivar esta función:

  • Inicia sesión en tu cuenta web de Zoom y ve a Reuniones> Programar nuevas reuniones.
  • Desplázate hacia abajo hasta la sección «Opciones de reunión» y desmarca «Habilitar unirse antes que el anfitrión» si está marcado.

Restringir los permisos y compartir la pantalla

Puedes restringir lo que los participantes pueden hacer durante las reuniones, esto es particularmente útil si deseas limitar los poderes de cualquier participante difícil. Una forma de hacerlo es asegurarte de que solo el anfitrión tenga la capacidad de compartir su pantalla.

Para limitar el uso compartido de la pantalla, sigue estos pasos:

  • Ve a la configuración de Zoom en la web y haz clic en «En reunión (básico)»
  • Verás una opción para compartir pantalla
  • Selecciona «Solo anfitrión» en «Quién puede compartir» para evitar que cualquier persona, excepto tu, pueda compartir la pantalla.
  • Haz clic en el botón guardar para guardar la configuración.

Otra forma de restringir o excluir a los participantes no deseados es bloquear sus reuniones. Cuando bloqueas una reunión de Zoom que ya ha comenzado, no pueden unirse nuevos participantes, incluso si tienen el ID y la contraseña de la reunión.

Para bloquear la reunión, sigue los pasos a continuación cuando estés en la reunión:

  • Haz clic en «Participantes» en la parte inferior de la ventana de Zoom.
  • En la ventana emergente «Participantes», haz clic en el botón que dice «Bloquear reunión».

No compartas los detalles de Zoom en foros públicos

Debes tener cuidado con la forma en que compartes los enlaces de tus reuniones. La mayoría de las reuniones de Zoom tienen un enlace público que, si se hace clic, permite que cualquiera pueda unirse. Publicarlo en una plataforma pública como Facebook o en su feed público de Twitter aumenta el riesgo de un bombardeo de Zoom porque los delincuentes cibernéticos pueden encontrar estos enlaces y recopilarlos.

Por lo tanto, para mitigar este tipo de riesgo, evita compartir el enlace de tu reunión en lugares públicos de Internet.

Conclusión

Esperamos que los consejos y ajustes anteriores te ayuden a proteger tus reuniones de Zoom. Sin embargo, si tus reuniones requieren un alto nivel de confidencialidad, entonces puede tener sentido mantenerlo fuera de Zoom. Esto se debe a que Zoom no implementa completamente el cifrado de un extremo a otro para garantizar el nivel requerido de confidencialidad; lo que significa que Zoom puede tener acceso al contenido de tu reunión sin cifrar.

Zoom admitió recientemente que comercializó falsamente una de sus implementaciones patentadas como cifrado de extremo a extremo. No obstante, dependiendo de su nivel de riesgo o caso de uso, la mayoría de las personas generalmente encuentran la seguridad de Zoom satisfactoria para su uso diario.