Check Point Research descubre vulnerabilidades críticas en Zoom que permite a los cibercriminales espiar conversaciones

Un hacker podría obtener acceso a todo el audio, vídeo y documentos compartidos durante una reunión. id:55050

Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, ha descubierto vulnerabilidades críticas en Zoom, el popular servicio de videoconferencia utilizado por más del 60% de las empresas de la lista Fortune 500 (presenta las 500 mayores empresas estadounidenses según su volumen de ventas) y que cuenta con más de 74.000 clientes en todo el mundo. Los investigadores de la compañía señalan que un cibercriminal podría espiar los resultados de Zoom Meetings generando y verificando los ID de Zoom Meeting, lo que provocó que Zoom implementara una serie de cambios de seguridad.

Check Point Research ha identificado un importante fallo de seguridad en Zoom, por medio del cuallos hackers podían generar y verificar fácilmente los ID de las reuniones de esta aplicación para dirigirse a las víctimas. De esta forma, un cibercriminal podría espiar las conversaciones que se mantienen a través de este servicio y tener acceso a todos los archivos (audio, vídeo o cualquier otro tipo de documento) que se compartiesen durante la reunión.

¿Cómo funciona esta vulnerabilidad?

Los identificadores de reuniones de Zoom son puntos de acceso para los participantes que forman parte de una reunión que se celebra a través de esta aplicación. Normalmente, estos números de identificación están formados por cifras de entre 9 y 11 dígitos que suelen estar incluidos en la URL (por ejemplo, https://zoom.us/j/93XXX9XXX5). Los investigadores de Check Point, sin embargo, descubrieron que un hacker podía generar previamente una larga lista de IDs de reuniones de Zoom, utilizar técnicas de automatización para verificar rápidamente si eran válidos y, a continuación, entrar en las reuniones de Zoom que no estuvieran protegidas por contraseña.

Por otra parte, Check Point ya ha informado a Zoom de estos hallazgos, y ha colaborado a la hora de publicar una serie de correcciones y nuevas funcionalidades para parchear completamente los fallos de seguridad. Como consecuencia, la compañía ha introducido las siguientes características y funcionalidades de seguridad en su tecnología:

Contraseñas por defecto: las contraseñas se añaden por defecto a todas las reuniones programadas.

Permitir a los usuarios añadir contraseñas: los usuarios pueden agregar una contraseña a las reuniones ya programadas y recibir instrucciones por correo electrónico sobre cómo hacerlo.

Aplicar contraseñas a nivel de cuenta y de grupo: el administrador de la cuenta puede modificar la configuración de las contraseñas y aplicarla tanto a nivel de cuenta como de grupo.

Validación del ID de la reunión: Zoom ya no indicará automáticamente si un ID de reunión es válido o no, por lo que, con cada intento, la página se cargará e intentará unirse a la reunión. Por lo tanto, un cibercriminal no podrá delimitar rápidamente el número de reuniones a las que intentar unirse.

Bloqueador de dispositivos: los intentos repetidos de buscar ID de reunión harán que un dispositivo se bloquee durante un período de tiempo.

Eusebio Nieva, director técnico de Check Point para España y Portugal señala que “cada vez se usan más aplicaciones de este tipo en el ámbito profesional, sobre todo para facilitar la comunicación a la hora de mantener reuniones con personas que se encuentran en distintas ubicaciones. Por este motivo, es fundamental garantizar la seguridad a la hora de utilizar este tipo de servicios, sobre todo teniendo en cuenta que en muchos casos se emplean para compartir información confidencial que, en manos equivocadas, puede suponer un grave riesgo para la seguridad de la información corporativa”.