La cuarentena ante el Covid-19 ha forzado a cerca del 60% de la población económicamente activa a trabajar desde casa, y muchos han optado por el uso de herramientas de videoconferencias en la nube para la comunicación laboral; sin embargo, en las últimas semanas Zoom, una de ellas, se ha visto en el centro de críticas por sus relajadas medidas de seguridad y el riesgo que representa para los usuarios.
Ninguna app de videoconferencias es segura: analistas
Aunque la firma, dirigida por Eric Yuan, ha dicho que en los próximos 90 días arreglará todos los huecos de ciberseguridad que se le han detectado, e incluso, nombró al exjefe de seguridad de Facebook, Alex Stamos, como asesor de esta iniciativa, un reporte del Equipo de Respuesta ante Incidentes de Seguridad Informática del Ministro del Interior de Chile (CSIRT) advirtió que tanto Zoom, como otras apps, representan un riesgo si no se toman las medidas necesarias y ninguna está 100% libre de vulnerabilidades.
“A la fecha, no existen herramientas sin vulnerabilidades, en todos los softwares han existido pero en todas ellas se han subsanado”, citó el reporte del CSIRT.
Otros proveedores de ciberseguridad como Kaspersky, Checkpoint y Panda Security concuerdan con el escenario que vulnerabilidades que se muestran en las herramientas de videoconferencia.
Yaniv Balmas, jefe seguridad de Checkpoint compartió en una publicación que a través de los datos a los que Zoom permite acceder, el equipo de investigación pudo ingresar a reuniones de empleados de firmas como Victoria’s Secret y HBO sin consentimiento y que han sido capaces de predecir alrededor de 4% de los ID’s de acceso a las reuniones los cuales son generados aleatoriamente.
Cada una es vulnerable de forma diferente
El CSIRT explicó que tras analizar ocho de las plataformas punteras en este segmento, como Zoom o Hangouts de Google, vio diferentes deficiencias de ciberseguridad en cada una; sin embargo, reconoció que las empresas están corriendo procesos para arreglar dichas fallas.
A detalle, esto fue lo que presentó el organismo por cada plataforma:
- Hangouts y Meet de Google: presentan vulnerabilidades asociadas al sistema operativo Android que es su soporte principal.
- Zoom Meeting: presenta cinco vulnerabilidades registradas como CVE que, de no estar mitigadas en la versión utilizada, pueden comprometer la seguridad de la información.
- GoToMeeting: presenta solo una vulnerabilidad CVE, registrada en 2014.
- Microsoft Skype: presenta seis vulnerabilidades CVE en versiones anteriores o iguales a 2017.
- Microsoft Teams: no presenta vulnerabilidades CVE registradas a la fecha.
- Webex de Cisco: presenta nueve vulnerabilidades CVE registradas para versiones anteriores o iguales a 2017.
A la fecha, por su volumen de participación en el mercado, Zoom es una de las apps de la que más se han expuesto incidentes de privacidad, tales como reportes que mostraban cómo un atacante podía advinar números aleatorios asignados a las URL de una conferencia y entrar en ellas sin alertar a los anfitriones, lo que se ha denominado “zoomboming” o la activación, sin consentimiento, tanto de la cámara como del micrófono de los equipos de los usuarios.
¿Y qué usar entonces?
Ante el panorama vulnerable, y dado que Zoom es actualmente la plataforma más usada en el contexto de videollamadas, con el 20% de participación actual del mercado, la recomendación de este organismo es tomar en cuenta diferentes pasos para filtrar la seguridad y dar menos control del sistema a la aplicación, tanto a ésta como al resto de las opciones en el mercado.
- Administrar participantes: Se recomienda no dejar abierto el ingreso a participantes nuevos en las conferencias, a menos que el administrador les permita entrar, de este modo se reduce el riesgo.
- Contraseñas: Habilitar estos servicios bajo un perfil que requiera contraseña o un PIN para ingresar y no dejarlo público; de ser posible contratar los servicios premium o de paga que son más seguros.
- Actualización: Mantener actualizadas las aplicaciones y los sistemas operativos de los dispositivos para contar con los parches de seguridad más recientes.
- No grabar: De preferencia se recomienda no grabar las llamadas o compartir escritorios pues esto reduce la capacidad de seguridad y encriptación de las plataformas.