Zoom: ¿Corres el riesgo de ser espiado en tus reuniones?
Hablar hoy en día de teletrabajo y de reuniones virtuales, inmediatemente nos trae a la cabeza la aplicación Zoom. Fuertemente popularizada durante estos tiempos de confinamiento por la propagación mundial del COVID19, se ha convertido en la opción de un gran volumen de usuarios para llevar a cabo reuniones familiares, de grupos sociales, compañeros de clase, y también es usada para reuniones de trabajo y para hacer reuniones privadas.
Ya hemos visto que desde marzo, abundan los comentarios acerca de las vulnerabilidades de seguridad que ha aquejado a muchos usuarios de la aplicación. Desde la irrupción de desconocidos en las salas de reunión, quienes en muchas ocasiones reproducían videos de pronografía infantil (fenómeno llamado Zoombombing, aprovechado concurrentemente para fines malignos), hasta el robo de contraseñas del sistema operativo en su versión de Windows, permitiendo ejecutar comandos en el sistema, también en macOS se han tenido fallas de seguridad que permitían a un atacante acceder al micrófono y la cámara del computador, dejando abierta la posibilidad de grabar la reunión.
Si bien a la fecha, casi se han superado todos los fallos de seguridad, hay quienes dicen secamente que es un malware, y que no se debe confiar nuestra privacidad a esta aplicación. Hoy se conocieron dos nuevas vulnerabilidades que letargan la desconfianza generalizada en Zoom, como lo expresó The Hacker News. La primera (CVE-2020-6109) permite ejecutar código malicioso incrustado en un GIF. Zoom usa el servicio Giphy, pero no valida que el GIF provenga de ese servicio o no. Lo más grave a mi parecer, es que dado que no hace un correcto uso y asignación de nombres sobre los sistemas de archivo, permite almacenar código malicioso insertado en archivos que puede guardar, bien sea en la carpeta de arranque del sistema operativo, o en cualquier carpeta del sistema.
La segunda vulnerabilidad (CVE-2020-6110) reside en la manera que usan ciertas versiones vulnerables de Zoom, para procesar los fragmentos de código enviados por el chat, cuya funcionalidad depende del estándar XMPP, que permite la instalación de plugins para mejorar la experiencia del usuario. Puedes mirar acá mas información sobre el reporte de esta mañana.
Recuerda asegurarte de usar la versión más reciente de la aplicación, sea cual sea el sistema operativo usado. Pienso que es probable que los fallos de seguridad sean cada vez menores al uar Zoom, lo digo porque recientemente han mejorado su infraestructura respaldándose en Amazon, También han echado mano de expertos en seguridad informática, y como lo dijo Bloomberg esta semana, la empresa ha atraído mucho capital de inversión; esperan generar ganancias entre 355 y 380 millones de dólares en el presente año fiscal. Pese a esto, existen varias alternativas como Skype, Google Duo, Jitsi Meet, o Google Meet, si al fin y al cabo, ya Google sabe todo sobre nosotros, pues mejor tener tu información y actividad privada centralizada, no hay necesidad de entregar más privacidad a otras empresas diferentes, ¿o tal vez sí?
Si te gusta lo que leiste, puedes seguirnos en Facebook.