Con el confinamiento, muchos usuarios empezaron a utilizar aplicaciones e videoconferencias, no solo para el trabajo, sino también para su vida personal. Herramientas como Skype, Zoom o Hangouts, que hasta entonces usaba solo un porcentaje de la población, empezaron a ser habituales. Sin embargo, debido a algunas brechas de seguridad de aplicaciones como Zoom, se difundió también el temor a ser hackeado al usar estas herramientas. Hoy te contamos qué hay de cierto y cómo puedes hacer para que no te puedan hackear en una videoconferencia.
CONTENIDOS
¿Qué había de cierto en el caso de Zoom?
Soluciones de Zoom para corregirlo
¿Qué hacer para que no te puedan hackear en una videoconferencia?
¿Qué había de cierto en el caso de Zoom?
Cuando se popularizó Zoom llegaron a usarla millones de usuarios, y surgieron voces críticas por varias causas. Por una parte, había usuarios que localizaban enlaces sin contraseña de reuniones y se unían a ellas aprovechando para introducir pornografía o material explícito (“zoombombing”). Además, el ID de reunión era visible en capturas de pantalla que la gente compartía, con lo cual era más fácil acceder. Por otra parte, había una vulnerabilidad en Windows que permitía, mandando un enlace manipulado mediante chat, obtener el “hash” de la contraseña del usuario e incluso ejecutar archivos en su equipo.
Los otros problemas tenían que ver con el uso que la propia Zoom hacía de la información. Había un SDK (Kit de Desarrollo de Software) de Facebook, que permitía a Facebook y Zoom recopilar datos como el ID de reunión, el tipo de dispositivo, el SO, la ubicación el Uso horario. Afectaba solo a usuarios de Apple.
Otras vulnerabilidades tenían que ver con que no existía cifrado de extremo a extremo, sino cifrado de extremo a empresa, por lo que la información de las reuniones era visible para la propia compañía Zoom (aunque no para terceros).
Soluciones de Zoom para corregirlo
Alarmada por la pérdida de usuarios, Zoom sacó a primeros de abril, pocos días después de informarse la brecha de seguridad, la versión 4.6.10 , para solucionar los problemas. Con esta versión, dejaba de publicar la ID de la conversación, habilitaba por defecto las salas de espera y también las contraseñas de las reuniones. Con esto eliminaron la mayoría de los problemas de intrusión en las reuniones. También corrigieron la vulnerabilidad que había para Windows, y deshabilitaron el SDK. Por último, endurecieron su política de seguridad y mejoraron el cifrado.
Y por supuesto, acompañó estas medidas con una política de refuerzo de su reputación con un vídeo en el que el propio CEO (Eric Yuan) pedía disculpas y otros comunicados para indicar cómo habían corregido los fallos.
Como vemos, las vulnerabilidades se producen, pero las compañías, si son solventes y fiables, las corrigen mediante actualizaciones. No obstante, como veremos en el punto siguiente, hay medidas razonables que debemos adoptar para evitar riesgos.
¿Qué hacer para que no te puedan hackear en una videoconferencia?
El caso Zoom nos aclara los riesgos que pueden darse en una videoconferencia.
- Los que tienen que ver con los participantes. La intrusión de un participante no invitado, o los mensajes malintencionados que pueden mandar (por ejemplo, un enlace manipulado para que se nos ejecute un programa)
- Los que tienen que ver con la propia aplicación que utilizamos (las vulnerabilidades de la propia Zoom)
- Los que tienen que ver con el uso de datos sin autorización (la propia compañía o Facebook recopilaron información)
Para el primer vector de riesgo (participantes), las medidas que podemos tomar pasan por adoptar una política de contraseñas para las reuniones y por no hacer pública la información de reuniones más que a las personas participantes. Una vez producida una intrusión, tendríamos como solución los medios que ya conocemos. No clicar nunca en un enlace enviado por mensajería, correo electrónico o SMS de procedencia dudosa. Y por supuesto, otras medidas de ciberseguridad, como tener un buen antivirus actualizado o tapar nuestra webcam cuando no estamos ya en videoconferencia.
Para el segundo vector de riesgo (la propia aplicación), es obvio que Zoom corrigió los problemas, pero es una empresa sólida y con grandes recursos. Por una parte, no se deben usar aplicaciones descargadas de portales y proveedores no oficiales y de buena reputación. Por otra, es imprescindible actualizar todas las aplicaciones de a la última versión, para evitar que te puedan hackear en una videoconferencia.
Para el último vector de riego (la compañía), la solución pasa por algo sencillo pero que casi nunca hacemos. Leer con detenimiento la política de privacidad y lo que aceptamos cuando instalamos una aplicación. No solo eso, también revisar las actualizaciones de condiciones y eliminar aquellas aplicaciones y cuentas que ya no usamos.
Todas estas medidas no garantizan que no nos suceda nada, pero son las mínimas que debemos adoptar para evitar que nos puedan hackear en una videoconferencia. Y por supuesto no te eximen de tomar más medidas de ciberseguridad empresarial.