Venden exploits para vulnerabilidades de Zoom que afectan a Windows y a MacOS

imagen ilustrativa

En su momento de mayor éxito, la aplicación de videollamadas suma múltiples problemas de seguridad y vulnerabilidades de privacidad. Esta es la historia de la compañía, su ascenso en bolsa en plena crisis por la COVID-19, y su polémica respuesta a las acusaciones.

Con más de un tercio de la población mundial en diversas formas de confinamiento en sus casas a causa de la pandemia por COVID-19, las aplicaciones de videollamadas han tenido un auge brutal en las últimas semanas. Y entre ellas ha destacado Zoom, una desconocida para buena parte del gran público pero que ha sumado según algunos informes más de 100 millones de usuarios diarios en estas fechas.

Sin embargo, en mitad de su mayor éxito, Zoom se ha revelado como una aplicación con multitud de fallos de seguridad y privacidad. Y lo que añade más leña; con una respuesta por parte de la compañía muy tibia y engañando a sus usuarios sobre sus términos y condiciones.

No hablamos de algo menor ni de brechas de seguridad que solo preocupen a la gente más concienciada: la última revelación, de este mismo viernes la ha publicado The Washington Post, es que hay miles de grabaciones de Zoom accesibles en internet con una sola búsqueda. Al parecer, las grabaciones de Zoom se guardan con una nomenclatura común que es fácil de rastrear en distintos servicios en la nube con una simple búsqueda y que el diario no ha revelado para no exponerlos aún más.

El último fallo de Zoom ha dejado accesible en internet miles de grabaciones de videollamadas
El Post fue informado de esta vulnerabilidad por un antiguo analista de la NSA, que dice haber encontrado cerca de 15.000 archivos simplemente buscándolos con esta nomenclatura. En ellos hay desde clases online, reuniones de trabajo a conversaciones de amigos o desnudos en conversaciones íntimas.

El problema que ha dado con estos vídeos expuestos radica en la falta de medidas de seguridad que tiene Zoom para hacer que sus llamadas sean más ágiles. Por ejemplo, gracias a su facilidad para acceder con comodidad desde un enlace, se está haciendo común lo que ya se conoce como ‘zoombombing’: personas desconocidos que tras llegar a ese enlace de distintas formas irrumpen en conversaciones ajenas con imágenes obscenas o insultado.

De vuelta al último gran agujero de los vídeos expuestos, la brecha está en que Zoom permite al anfitrión grabar cualquier llamada. El resto de participantes ve una advertencia, pero no tiene que dar su permiso explícito. Después, Zoom guarda esa grabación en sus propios servidores (que también se ha revelado que no tienen una protección adecuada, luego iremos con ello) y al anfitrión para descargarlo en su ordenador. El problema es que Zoom de nuevo para dar mayor agilidad, no exigía al anfitrión hasta ahora cambiar el nombre del archivo de la grabación, dando lugar a esta nomenclatura común y fácil de encontrar. Después, si el usuario subía el vídeo a algún servicio gratuito en la nube, a Youtube, o no era ducho a la hora de mantener el video en privado, quedaba visible en una búsqueda en la web.

Ante todo esto, Zoom dijo en un comunicado que «proporciona una manera segura para que los usuarios almacenen sus grabaciones» y ofrece guías sobre cómo pueden mejorar la seguridad de sus llamadas. «En caso de que los anfitriones luego elijan cargar las grabaciones de sus reuniones en cualquier otro lugar, les instamos a que sean extremadamente cautelosos y sean transparentes con los participantes de la reunión, considerando cuidadosamente si la reunión contiene información confidencial y las expectativas razonables de los participantes», rezaba el comunicado, que no hacía referencia al problema de la nomenclatura común que permite encontrarlos en masa. Cinco personas identificadas en los videos que vio The Post dijeron que no tenían idea de cómo se filmaron las imágenes en línea.

Pero, repetimos, este solo ha sido el último escándalo que ha afectado a Zoom en cuestión de días. Así ha sido la historia de su auge y su actual polémica, ¿y rápida caída?

Zoom, de nuevo ‘unicornio tecnológico’ a agujero de privacidad que hace videollamadas
Zoom fue creada en 2012 por Eric Yuan, un ingeniero informático de origen chino que en los 90 participó en el lanzamiento de WebEx, la pionera en la solución para videollamadas que acabó siendo comprada por Cisco.

Como ha contado en varias entrevistas, su principal leitmotiv para intentar superar a Skype o Hangouts ha sido hacer su aplicación más sencilla. “Nadie guarda un buen recuerdo la primera vez que usa una aplicación de videollamada”, llegó a decir en una entrevista para la CNBC. De ahí sus funcionalidades que ahora se han vuelto grandes problemas: facilidad para acceder por enlace, disminuir los pasos en pos de la agilidad, y el gran aliciente de poder conectar hasta a 100 personas a la vez.

El negocio de Zoom está en sus planes premium, que comienzan para hacer llamadas superiores a los 40 minutos o crear ecosistemas de empresa. Apple, Space X o la NASA por ejemplo la usaban, hasta que los recientes escándalos hayan hecho que dejen de hacerlo, asestando un golpe más a su popularidad.

Así, en abril de 2019 Zoom salió a bolsa. Sus acciones se doblaron desde los 30 dólares en la jornada de apertura, lo que llevó a nombrar como un nuevo ‘unicornio tecnológico’, pero, a diferencia de otras nuevas empresas cotizadas, Zoom ha sido hasta ahora rentable. En el último trimestre de 2020 reportó un beneficio de 15 millones de dólares.

Su fama como solución óptima y moderna para las videollamadas ha ido creciendo en el mundo empresarial hasta explotar por la pandemia. Cuando toda la bolsa caída a comienzos de marzo, las acciones de Zoom pasaban de 50 a 150 dólares. Cuando se escriben estas líneas, tras los escándalos, han bajado a 128.

Su crecimiento en usuarios también ha sido exponencial. De los 10 millones de 2014, a los 40 de 2018 y los más de 77 que según SensoTower habría conseguido solo en marzo de este año debido a la cuarentena.

Sin embargo, como decíamos, sus escándalos han sido múltiples y no solo en estos últimos días, algunos van a cumplir pronto el año.

Julio de 2019: Se desvela que la aplicación expone la cámara de los Mac. El fallo en cuestión explotaba de nuevo la característica en la que es posible conectarse a través de un enlace directo. Este se abre a través de un navegador en un servidor local que abría una puerta para que webs maliciosas pudieran activar nuestra cámara incluso tras desistalar la app. Al final Apple fue la que corrigió el error con una actualización discreta de sus dispositivos.

27 de marzo de 2020: ya en medio de la cuarentena, Motherboard hace público que Zoom envía datos a Facebook sin avisar en sus políticas de privacidad. En ellos se extrae el dispositivo, la ubicación y otros datos óptimos para la integración con anuncios de Facebook. Zoom emite un primer comunicado disculpándose y diciendo que lo ha solucionado con una actualización.

30 de marzo de 2020: el analista de seguridad Felix Seele avisa de que el instalador de Zoom para Mac usa scripts sin solicitar permiso al usuario que, bajo la apariencia de automatizar la instalación, da a la app privilegios en el sistema.

31 de marzo de 2020: El medio The Intercept desvela ahora que las videollamadas de Zoom no están cifradas de extremo a extremo, como anuncia. Esto hace que en sus servidores puedan estar expuestas a vulneraciones. Sin entrar de forma muy técnica, Zoom usa un sistema que solo cifra en el emisor y el receptor, pero no en sus propios servidores. La empresa se excusa ante el medio diciendo que cifrado extremo a extremo es poco menos que una forma de hablar. «Cuando usamos la frase ‘End to End’ en nuestra forma de ver, es en referencia a que la conexión que se encripta desde punto a punto en Zoom», escribió un portavoz de la compañía.

1 de abril: una nueva brecha, ahora en Windows, hace que las contraseñas queden expuestas.

3 de abril: el Post publica que miles de videollamadas de Zoom son accesibles con una simple búsqueda en la web.

Con todo ello, Zoom ha anunciado que por ahora parará todas las nuevas implementaciones y se pondrá a trabajar en reparar todos estos problemas, en palabras de su propio CEO, Eric Yuan.

Veremos hasta qué punto quedan tocados o hundidos, o Zoom entra a formar parte del catálogo de escándalos de privacidad online que tuvieron cierta repercusión, pero que acabaron siendo pasados por alto a la larga.

 

ESET alerta que cibercriminales ofrecen en foros de hacking exploits para vulnerabilidades zero-day en Zoom, que permiten comprometer dispositivos de los usuarios y espiar las llamadas que realizan a través de la herramienta.

Montevideo, Uruguay, 17 de abril de 2020 – A los problemas de seguridad que se han conocido en Zoom durante las últimas semanas se suma la novedad de que están siendo comercializados en el mercado dos exploits para vulnerabilidades críticas en este software de videoconferencias. ESET Latinoamérica, compañía líder en la detección proactiva de amenazas, explica que las vulnerabilidades que aprovechan estos exploits están presentes en el cliente para Windows y en el de MacOS, y permitirían a un atacante comprometer los dispositivos de los usuarios y espiar las llamadas que realizan a través de la herramienta.

El sitio Motherboard explicó que tres fuentes conocedoras de estos mercados confirmaron la comercialización de estos dos exploits. Si bien no se conocen los detalles de los códigos maliciosos que aprovechan estos fallos, las distintas fuentes fueron contactadas por intermediarios que se los han ofrecido.

Un exploit no es un malware, sino un código que permite aprovechar el fallo para que el atacante pueda acceder a un sistema y proporcionar los permisos necesarios para luego infectarlo. “Los exploits zero-days son códigos que explotan vulnerabilidades desconocidas; es decir, que no han sido reportadas previamente al público, lo que significa que no hay un parche o actualización disponible que repare el fallo de seguridad y por eso suponen una grave amenaza.”, comentó Camilo Gutiérrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Los exploits para una vulnerabilidad zero-day suelen ser comercializados en el mercado negro por grandes sumas de dinero, dependiendo del software al que afectan. En el caso de Zoom, y la gran popularidad que ha tenido como consecuencia de la pandemia del coronavirus (COVID-19), despertó el interés de los cibercriminales, quienes pusieron su atención en este software con la esperanza de descubrir vulnerabilidades para luego venderlas en la dark web y foros de hacking, explicó Vice.

En el caso del exploit zero-day para el cliente de Zoom en Windows, el mismo aprovecha una vulnerabilidad que permite la ejecución remota de código en la computadora de la víctima. Estos exploits son de gran valor, ya que permiten a un atacante comprometer el dispositivo apuntado sin necesidad de recurrir a correos de phishing en los que se necesita que la víctima cometa un error y descargue un archivo o haga clic en un enlace. Según confirmó una de las fuentes, el exploit para Windows se está ofreciendo a más de $500.000.

En el caso de la zero-day para el cliente Zoom en MacOS, no se trata de un exploit de ejecución remota de código y es más difícil de utilizar, lo que lo hace menos severo.

También se conoció que cibercriminales están vendiendo en la dark web y foros clandestinos cuentas de Zoom por muy poco dinero y en algunos casos las están ofreciendo incluso de manera gratuita. Las formas en las que obtienen estas credenciales es mediante ataques de credential stuffing, el cual consiste en la utilización de combinaciones de nombres de usuario y contraseñas que fueron filtradas en distintas brechas de seguridad y que permite a los atacantes armar un listado de aquellas combinaciones que funcionan para luego venderlas a otros cibercriminales para realizar otros ataques.

“Desde ESET apostamos a la educación y la concientización como herramientas fundamentales de protección, ya que al conocer los riesgos es más fácil prevenirlos. Mantener actualizados los sistemas, contar con una solución de seguridad confiable, utilizar doble factor de verificación en las contraseñas nos permiten disfrutar de Internet de manera segura.”, concluye Gutiérrez.

En el contexto de aislamiento por el COVID-19, ESET comparte #MejorQuedateEnTuCasa, donde acerca protección para los dispositivos y contenidos que ayudan a aprovechar los días en casa y garantizar la seguridad de los más chicos mientras se divierten online. El mismo incluye: 90 días gratis de ESET INTERNET SECURITY para asegurar todos los dispositivos del hogar, una Guía de Teletrabajo, con buenas prácticas para trabajar desde el hogar sin riesgos, Academia ESET, para acceder a cursos online que ayudan a sacar el mayor provecho de la tecnología y Digipadres, para leer consejos sobre cómo acompañar y proteger a los niños en la Web.

Con info de Hipertextual y ESET por Catalina Sterenstein

Salir de la versión móvil