¡Cuidado! Un fallo de Zoom permite que cualquiera entre en las videollamadas privadas
Los atacantes podían descubrir la clave de tus videollamadas privadas de Zoom en cuestión de minutos.
La popular plataforma de videollamadas, Zoom, vuelve a estar en el centro de la polémica después de que un analista especializado en ciberseguridad haya descubierto una grave vulnerabilidad en el servicio, que permitiría a los atacantes descubrir la contraseña de las salas de reunión privadas en tan solo unos minutos.
El analista en cuestión, Tom Anthony, explica que si bien las reuniones privadas de Zoom pueden ser protegidas con contraseñas numéricas de hasta seis dígitos, el cliente web de la plataforma no cuenta con un límite de intentos máximos a la hora de introducir la clave, habilitando así la posibilidad de llevar a cabo ataques de fuerza bruta con el objetivo de recuperar la clave correcta que concede acceso a la sesión. El hecho de utilizar claves de seis dígitos, implica que existen un millón de combinaciones distintas que pueden ser utilizadas.
Ataques de fuerza bruta, ¿qué son y cómo funcionan? | Cuando hablamos de ataques de fuerza bruta, nos referimos a un procedimiento que consiste en intentar recuperar una clave o contraseña probando todas las combinaciones disponibles, normalmente de manera automatizada utilizando sistemas diseñados específicamente para generar las claves comprendidas en un rango concreto.
Al aprovecharse de esta vulnerabilidad, los atacantes podrían acceder y escuchar las reuniones privadas. En ese sentido, el atacante explica que únicamente era necesario conocer el código identificador o ID de la llamada y comenzar a probar distintas combinaciones hasta dar con la clave.
Zoom, de nuevo en el centro de la polémica por un grave fallo de seguridad
En la publicación donde Anthony expone los detalles de esta investigación, explica que, para obtener las contraseñas de las sesiones privadas de Zoom, le bastó con desarrollar una simple herramienta usando el lenguaje de programación Python. Con ella, se conseguía comprobar hasta 25 claves de seis dígitos cada segundo, de modo que descubrir la clave correcta podía tomar menos de media hora utilizando un ordenador normal y corriente, como el que cualquiera podría tener en casa. De hecho, explica que en caso de haber utilizado técnicas más avanzadas, distribuyendo la ejecución del script en servidores en la nube, comprobar el rango completo de claves podría llevar tan solo unos minutos.
Aunque Zoom fue avisada sobre esta vulnerabilidad a principios del mes de abril, y poco después el problema quedó subsanado a través de la implementación de una capa extra de seguridad que requiere que las contraseñas sean no numéricas y de una longitud superior a los seis dígitos originales, la realidad es que se trata de otra piedra más en el camino de Zoom, una plataforma que desde que sufrió su explosión de popularidad a partir del mes de abril de este año, se ha encontrado en el centro de la polémica en multitud de ocasiones debido a sus graves fallos de seguridad y a unas políticas de privacidad cuestionables. Incluso el CEO de la compañía tuvo que salir al paso, avisando sobre la intención de la compañía de actuar más rápido a la hora de descubrir y subsanar este tipo de problemas.
"La vulnerabilidad ya ha quedado subsanada a través de la implementación de una capa extra de seguridad."
Sea como fuere, parece estar bastante claro que a Zoom le ha venido grande el éxito, y que sus avances en términos de seguridad y privacidad no parecen llegar lo suficientemente rápido a pesar del esfuerzo de la compañía. No es de extrañar, por tanto, que en estas últimas semanas alternativas como Google Meet estén ganando adeptos a pasos agigantados.
Para estar siempre al día con lo último en tecnología, suscríbete a nuestro canal oficial y verificado de Andro4all en WhatsApp.