Los investigadores descubren nuevas fallas de seguridad en Zoom, e incluso enlaces a China

Pensaron que las polémicas relacionadas con la aplicación de videoconferencias zoom ¿ya terminaron? ¡Pues se equivocaron!

Veamos primero un resumen de todo lo que ha pasado en los últimos meses:

Después de las últimas noticias, imaginamos que las polémicas cesarían, pero un gran error: el investigador brian krebs informó que se encontraron más vulnerabilidades en la aplicación. Más concretamente, un grupo de expertos en seguridad digital pudo acceder a información sensible sobre más de 2400 reuniones que tenían lugar en los servidores de Zoom utilizando técnicas sencillas de fuerza bruta para llevar a cabo los ataques.

El grupo de investigadores de la firma de seguridad SecKC, liderado por el experto trent locreó un programa llamado zWarDialque es capaz de «adivinar» los ID de reuniones de Zoom: códigos numéricos simples que van de 9 a 11 dígitos y se pueden generar fácilmente con combinaciones aleatorias.

El programa creado por los investigadores puede encontrar una identificación legítima en el 14% de los intentos y puede encontrar hasta 100 reuniones por hora, extrayendo datos como el enlace de acceso, el nombre del organizador y los participantes, el tema de la reunión y más.

Es bueno tener en cuenta que zWarDial solo puede encontrar y extraer datos de reuniones que no protegido con contraseña, pero eso también sorprende: Zoom afirma en su centro de ayuda que ya requiere, de forma predeterminada, que cualquier reunión tenga una contraseña configurada. Es decir, para que el programa encuentre tantas reuniones desprotegidas, algo no llama. El equipo de desarrollo del servicio dijo que está investigando el caso.

Vínculos con China

En la última semana, el la intercepción también reveló que la plataforma no tenía encriptado de fin a fin en sus videoconferencias, a pesar de prometer la característica de seguridad en su material promocional. Porque hoy el sitio publicó información aún más preocupante en relación a esto.

Basado en una investigación de la Laboratorio ciudadano (Grupo de investigación de seguridad digital de la Universidad de Toronto), el informe reveló que Zoom genera claves de cifrado que, durante las reuniones, permanecen compartidas entre los servidores de la plataforma y los participantes de la conversación; las claves incluso se comparten en servidores Zoom externos, que no tienen nada que ver con esa reunión en sí.

Ahí radica el problema: Citizen Lab descubrió que algunas de estas claves de cifrado se generan en los servidores de Zoom en Porcelana — incluso en reuniones que no tienen nada que ver con el País del Muro, ni tienen ningún miembro de ese país. Esto es suficiente para despertar sospechas, considerando la vigilancia constante de las autoridades chinas sobre los servidores ubicados en el país.

En otras palabras, según la ley china, Zoom puede estar legalmente obligado a compartir estas claves de cifrado con Beijing, lo que podría dar acceso al gobierno incluso a reuniones fuera de China.

Además, el sistema de encriptación que usa Zoom en sí no es el ideal: la plataforma usa 128 bits, que han sido abandonados por las empresas durante casi una década en favor del sistema mucho más seguro de 256 bits. Por supuesto, cualquier protección es protección, al menos, pero eso demuestra que la seguridad de los datos no es (¿o era?) exactamente la principal preocupación del servicio.

Investigación en los EE. UU.

Evidentemente, todo este torrente de polémicas no podía pasar en silencio: según el gizmodoal menos dos estados de EE. UU. ya han abierto investigaciones sobre Zoom, sus operaciones y tecnologías.

El primero en actuar fue Nueva Yorkquien inició una investigación a principios de esta semana a través del Fiscal General leticia james; Este Dia, Connecticut siguió el mismo camino. Además, las oficinas del FBI en Boston (Massachussetts) ya han advertido a los usuarios de Zoom de posibles fallos de seguridad en la plataforma.

Las investigaciones están motivadas por el hecho de que el uso de Zoom está creciendo rápidamente durante la pandemia de coronavirus. Coronavirus (COVID-19) — usuarios, estudiantes, docentes y empresas (incluso las grandes) han recurrido a los servicios de la plataforma para mitigar los efectos del aislamiento social y mantener sus actividades, en la medida de lo posible.

Esto incluso hizo que el valor de mercado de la empresa se duplicara con creces en menos de tres meses, superando, en el proceso, a los gigantes de los hoteles, las aerolíneas e incluso a los Uber. La información es de New York Times:

Las acciones de Zoom se han duplicado con creces este año y la empresa ya es más grande, en capitalización de mercado, que las aerolíneas y los hoteles… vía @Los Tiempos de la Ciudad Nueva York

En otras palabras, la situación es problemática y parece profundizarse cada vez más.

Artículos relacionados