Una vulnerabilidad en la plataforma Zoom permitía el espionaje de las videoconferencias

Una vulnerabilidad en la plataforma Zoom permitía el espionaje de las videoconferencias
Sin comentarios Facebook Twitter Flipboard E-mail

La popular plataforma de comunicaciones Zoom había mantenido una puerta abierta a las videollamadas de sus usuarios. Eso es lo que se deprende del informe publicado este martes por la compañía de ciberseguridad Check Point Research y que corrobora la propia empresa en declaraciones a los medios.

El fallo de seguridad encontrado permitía que un tercero pudiese unirse a una reunión en vídeo —de las que pueden llevarse a cabo con Zoom— sin ser un invitado a la misma. Esto le hubiese permitido escuchar y, potencialmente, haber tenido acceso a cualquier fichero compartido durante el encuentro.

Un vistazo a…
11 PROGRAMAS y APPS GRATUITAS de VIDEOLLAMADAS

El problema: los identificadores de reunión

Web de Zoom

Los usuarios más habituales de esta plataforma ampliamente utilizada en el ámbito empresarial probablemente sepan que las reuniones de Zoom se identifican por un código de nueve, diez u once dígitos. El problema llega cuando los usuarios que convocan una reunión no han habilitado opciones adicionales como requerir una contraseña o habilitar la admisión manual.

Sin estas funciones activadas, el identificador de nueve, diez u once dígitos era la única barrera para que un tercero no invitado pudiese acceder a una reunión.

El problema se resolvió cambiando el método de generación de los códigos, haciéndolos más largos y marcando como predeterminada la opción de exigir contraseña

Y esta barrera era predecible, según los investigadores de Check Point Research, que encontraron una manera de predecir qué códigos pertenecían a reuniones válidas alrededor del 4 % de las veces. "Lo que es una posibilidad muy alta de éxito, en comparación con la fuerza bruta pura", explican. Además, fueron capaces de unirse a algunos de estos encuentros.

Los expertos en ciberseguridad comunicaron a Zoom la vulnerabilidad y aseguran que la empresa se puso rápidamente manos a la obra para solucionar el problema haciendo más largo el identificador, generándolos criptográficamente y la opción de requerimiento de contraseña la estableció como predeterminada. Esto sucedió en agosto, según ha explicado un portavoz a The Verge.

Comentarios cerrados
Inicio