Fallo del zoom permite entrar en las videollamadas privadas

Un fallo de Zoom podría permitir a piratas informáticos acceder a las videollamadas privadas en minutos.

La popular plataforma de videollamadas, Zoom, vuelve a estar en el centro de la controversia. ¿La razón? Un analista de seguridad cibernética descubrió una grave vulnerabilidad en el servicio. Esta permitiría a los atacantes descubrir la clave de las salas de reuniones privadas en pocos minutos.

El analista en cuestión, Tom Anthony, explica que las reuniones privadas de Zoom pueden ser protegidas con contraseñas numéricas de hasta seis dígitos. Sin embargo, el cliente web de la plataforma no tiene un límite de intentos máximos al introducir la contraseña. ¿Qué significa esto? Significa que permite la posibilidad de realizar los ataques de fuerza bruta para recuperar la clave correcta que da acceso a la sesión. El hecho de utilizar claves de seis dígitos implica que hay un millón de combinaciones diferentes que pueden ser utilizadas.

Ataques de fuerza bruta, ¿qué son y cómo funcionan? Cuando hablamos de ataques de fuerza bruta, nos referimos a un procedimiento que consiste en intentar recuperar una clave o contraseña probando todas las combinaciones disponibles, normalmente de forma automatizada. ¿Cómo se logra esto? Utilizando sistemas específicamente diseñados para generar las claves dentro de un rango determinado.

Al explotar esta falla de Zoom, los atacantes podrían acceder y escuchar reuniones privadas. En este sentido, el atacante explica que sólo era necesario conocer el identificador de llamadas o el código de identificación y empezar a probar diferentes combinaciones hasta encontrar la clave.

La aplicación Zoom ha sido una de las más descargadas en los últimos meses.

Fallo de Zoom coloca a la app en el ojo del huracán

En la publicación en la que Anthony expone los detalles de esta investigación, explica que, para obtener las contraseñas de las sesiones privadas de Zoom bastó con desarrollar una sencilla herramienta utilizando el lenguaje de programación Python. Con ella se consiguió comprobar hasta 25 claves de seis dígitos cada segundo.

Ahora, ¿qué quiere decir esto? Que descubrir la clave correcta podía llevar menos de media hora usando un ordenador normal, como el que cualquiera podría tener en casa. De hecho, explica que en caso de haber utilizado técnicas más avanzadas, distribuir la ejecución del script en los servidores de la nube, la comprobación de la gama completa de claves podría tomar sólo unos minutos.

Aunque Zoom fue notificado de este fallo a principios de abril. Poco después el problema fue remediado mediante la implementación de una capa extra de seguridad; esta requiere que las contraseñas no sean numéricas y sean más largas que los seis dígitos originales. Sin embargo, la realidad es que se trata de una piedra más en el camino de Zoom.

La plataforma que desde que sufrió su explosión de popularidad a partir de abril de este año, ha estado en el centro de la controversia en muchas ocasiones debido a sus graves fallos de seguridad y sus cuestionables políticas de privacidad. Incluso el CEO de la compañía tuvo que dar un paso al frente, advirtiendo sobre la intención de la empresa de actuar más rápido a la hora de descubrir y corregir este tipo de problemas.

Sea como fuere, parece bastante claro que Zoom ha tenido un gran éxito. Aunque su progreso en términos de seguridad y privacidad no parece llegar lo suficientemente rápido a pesar de los esfuerzos de la compañía. No es sorprendente, por lo tanto, que en las últimas semanas alternativas como Google Meet estén ganando adeptos a pasos agigantados.

:)