Tecnología

Una vulnerabilidad expone las videollamadas y los documentos de la app profesional Zoom

28 enero, 2020 17:04

MADRID, 28 (Portaltic/EP)

La compañía de ciberseguridad Check Point ha descubierto una vulnerabilidad crítica presente en la aplicación de videollamadas profesional Zoom que expone el vídeo, el audio y los documentos enviados por los usuarios y para la que Zoom ya ha lanzado un parche de seguridad.

Los cibercriminales podrían espiar los resultados de Zoom Meetings -su función de reuniones-, generando y verificando los identificadores de reuniones de la aplicación para poder con ello dirigirse a las víctimas, según ha explicado Check Point en un comunicado.

Los identificadores de reuniones de Zoom son puntos de acceso para los participantes que forman parte de una reunión. Normalmente, están formados por cifras de entre 9 y 11 dígitos que suelen estar incluidos en la URL.

Sin embargo, se ha descubierto que un hacker podía generar previamente una lista de IDs de reuniones de Zoom, utilizar técnicas de automatización para verificar si eran válidos y, después, entrar en las reuniones de Zoom que no estuvieran protegidas por contraseña.

Aprovechándose de la vulnerabilidad de Zoom Meetings, un cibercriminal podría espiar las conversaciones que se mantienen a través de este servicio y tener acceso a todos los archivos (audio, vídeo o cualquier otro tipo de documento) que se compartiesen durante la reunión.

Zoom es utilizado por más del 60 por ciento de las empresas de la lista Fortune 500 y cuenta con más de 74.000 clientes en todo el mundo.

SOLUCIONADO POR ZOOM

Tras su descubrimiento, Check Point informó a Zoom de este fallo de seguridad y la aplicación ya ha sido capaz de parchear completamente la vulnerabilidad.

El servicio de videollamadas ha introducido varias funcionalidades de seguridad como contraseñas por defecto para todas las reuniones, permitir a los usuarios añadir contraseñas y permitir al administrador aplicar contraseñas a nivel de cuenta y de grupo.

Asimismo, Zoom dejará de indicar automáticamente si un identificador de reunión es válido o no, de manera que con cada intento la página se cargará, y los intentos repetidos de buscar códigos de reuniones harán que un dispositivo se bloquee durante un período de tiempo.