#HablandoDeSeguridad: Zoom gratuito y seguro
La versión gratuita de Zoom tiene vulnerabilidades, las analizamos y compartimos 5 claves para usarla en esta nueva edición de #HablandoDeSeguridad desde casa.
Zoom creció de 10 a 200 millones de usuarios en los últimos 3 meses. En el mismo lapso se detectaron problemas de seguridad, sobre todo en su versión gratuita, que llevaron a situaciones desde la prohibición de uso para los empleados de Google a que el fiscal general de la ciudad de Nueva York escriba una carta a la compañía preguntando qué medidas de seguridad piensa implementar a partir de este incremento en el tráfico.
Los tres problemas de Seguridad de Zoom
- Falla de seguridad en enlaces a rutas UNC: podría llegar a ser utilizada por un atacante para obtener las credenciales de usuario de Windows y ejecutar código. La versión 4.6.19253.0401 corrige este problema.
- Encripción de las comunicaciones: Zoom asegura que implementa encripción de punta a punta en sus comunicaciones. La realidad es que cuando las reuniones son realizadas a través de la app no se encripta. Por otro lado, si se habilita algún servicio como la grabación en la nube, Zoom tiene utiliza las claves desencripción que ellos mismos generaron, lo cual no es una buena práctica de Seguridad.
- Funcionalidad que permitía vincular participantes con perfiles de LinkedIn: Zoom declaró que deshabilitó esta función.
Problemas de Seguridad que no pertenecen a Zoom (pero existen)
- Zoombombing: se produce cuando un ciberdelincuente se cuela en una videoconferencia utilizando el ID de la reunión virtual o un enlace que se haya hecho público.
- Falsos dominios y Apps: aumentó la cantidad de dominios registrados por cibercriminales utilizando el nombre de Zoom con la intención de engañar a los usuarios y robar datos; algo similar ocurre con la aparición de falsas Apps que distribuyen malware.
5 Precauciones para usar Zoom gratito
1) Utilizar siempre la generación automática de una reunión: De esta manera cada reunión tendrá un “ID de reunión” diferente. Si el ID de una reunión se ve comprometido, solo servirá para una sola reunión y no para todas las que se organicen.
2) Establecer el uso de una contraseña para unirse a una reunión.
3) Que el organizador admita manualmente a los participantes a la reunión.
4) Cuidar la visualización de datos sensibles al compartir pantallas. En particular los dispositivos iOS de Apple hacen capturas de pantalla de las aplicaciones abiertas.
5) Tomarse el trabajo de leer la Política de Privacidad de Zoom.
