Zoom es acusada por fallas y vulnerabilidades. Nuestras recomendaciones para un uso seguro

Montevideo, 02 de abril de 2020.

La herramienta y nuestras recomendaciones

En el contexto actual, la herramienta Zoom se ha vuelto el centro de una especial atención por ser la herramienta más utilizada para teleconferencias, consultas médicas y capacitaciones a nivel mundial. En Uruguay, la mayoría de los centros de estudio la utilizan como espacio para brindar clases virtuales.

Zoom es un sistema de videoconferencias y reuniones virtuales creado en 2011. La herramienta permite reuniones de hasta 100 participantes por un tiempo máximo de 40 minutos en su versión gratuita. Para los clientes pagos los límites son otros, pueden hacer reuniones o conferencias de hasta 1000 participantes por tiempo indeterminado.

En estos días debido a su uso masivo, la herramienta ha sido acusada de presentar ciertos problemas y vulnerabilidades que dejarían expuestos a los usuarios y sus sistemas. Si bien, muchas de estas vulnerabilidades ya han sido subsanadas, no quita que haya muchas otras cosas por mejorar y fallas por aparecer. Zoom, por defecto, en su instalación normal cuenta con niveles de seguridad aceptables, no considerándose así insegura. Esta configuración se puede reforzar aumentando el nivel de seguridad ya que cuenta con diversos parámetros de seguridad y privacidad que pueden ser configurados. Les dejamos a continuación algunas recomendaciones para una configuración segura:

  1. Utiliza contraseñas para las sesiones de Zoom. Adjudicando una clave de acceso se evita el ingreso de intrusos y usuarios no autorizados, ya que la reunión se distribuye con la contraseña.
  2. Enviar invitaciones por correo a las cuentas de correos validadas.
  3. No grabar ni permitir que se graben las sesiones de Zoom por ninguna de las partes. Tener presente que el hacerlo abre un escenario enorme de riesgos y consideraciones de privacidad y protección de los registros, país en el que se almacenan, etc.
  4. Restringir al mínimo los permisos de compartir o tomar algún tipo de control de la sesión por parte de los asistentes. 
  5. Bloquea la sesión. Se accede a esta opción desde la lista de Participantes durante la sesión haciendo clic en el botón “Más” y seleccionando “Bloquear sesión”. Se puede hacer una vez estén todos los participantes en línea y mejora la seguridad de la reunión en virtud de que ningún otro participante pueda unirse.
  6. En el caso de ser utilizada como espacio para consultas médicas, establecer un consentimiento formal por parte del socio de que usará este canal para comunicarse con el médico, etc. Los médicos deben seguir generando los registros según las otras herramientas disponibles, no sustituyendo con Zoom ningún aspecto. 
  7. Cuando se utiliza Zoom en el ámbito de estudio se dispone de la opción: Sala de Espera. Los estudiantes quedan en una sala de espera hasta que el docente lo habilita a pasar a la reunión. Esta “tarea administrativa” corresponde al docente quien será el encargado de habilitar el ingreso de los estudiantes a la reunión.
  8. Analizar con detalles los términos del servicio brindado por Zoom.

  

Sus vulnerabilidades y la respuesta de la compañía

Zoom ha sido acusada por presentar diversas vulnerabilidades entre las que se destacan:

  • Cifrado: Los chats de la herramienta se cifran entre participantes, pero las video llamadas no son tan seguras, ya que, si bien son cifradas, la compañía puede acceder a ellas.
  • “Bombardeo de Zoom”/“Zoombombing”: Intrusos se cuelan en las reuniones e invaden el chat de imágenes pornográficas y mensajes amenazantes. Es posible solamente si las sesiones no cuentan con una contraseña, ya que los atacantes buscan sesiones en curso para ingresar y de esa manera invadirlas y comprometerlas. Este problema se ha manifestado principalmente en EE.UU y ya fue alertado al FBI.
  • Facebook: Producto de un descuido en el diseño de la aplicación, Facebook tenía acceso a datos privados de los usuarios. A su vez, la aplicación permitía a los usuarios iniciar sesión a través de la cuenta de Facebook, permitiéndole el acceso a este medio de los datos personales de los usuarios.
  • Credenciales de Windows: Tal como informó The Hackers News, los atacantes remotos podrían acceder a las credenciales de acceso de inicio de sesión de Windows y ejecutar comandos arbitrarios en los sistemas, solo a través de una URLS diseñada y enviada en un chat.

Se ha reportado que por su uso masivo en centros educativos, muchos niños y adolescentes han armado un complot masivo en el que puntúan de forma negativa y reportan problemas en Zoom en todas las tiendas de aplicaciones, con el fin de perjudicar la plataforma y dejar de tener clases por ese medio.

Rápidamente, Zoom emitió un comunicado a sus usuarios dando respuesta a las acusaciones. La compañía manifestó que se han brindado capacitaciones, tutoriales y seminarios web gratuitos para que los usuarios conozcan la herramienta.

Por otro lado, se enlistan ciertas acciones que se han tomado para remediar las fallas, comprometiéndose asimismo a seguir trabajando para garantizar la seguridad de aquellos que utilicen este medio:

  • “El 20 de marzo, publicamos una publicación en el blog para ayudar a los usuarios a abordar los incidentes de acoso (o el llamado "Zoombombing") en nuestra plataforma al aclarar las características de protección que pueden ayudar a prevenir esto, como salas de espera, contraseñas, controles de silencio y limitar el uso compartido de pantalla…”
  • “El 27 de marzo, tomamos medidas para eliminar el SDK de Facebook en nuestro cliente iOS y lo reconfiguramos para evitar que recopile información innecesaria del dispositivo de nuestros usuarios.”
  • “El 29 de marzo, actualizamos nuestra política de privacidad para ser más claros y transparentes sobre los datos que recopilamos y cómo se utilizan , aclarando explícitamente que no vendemos los datos de nuestros usuarios, nunca hemos vendido datos de usuarios en el pasado, y no tenemos intención de vender los datos de los usuarios en el futuro.”
  • “Para usuarios de educación: Se lanzó una guía para administradores sobre cómo configurar un aula virtual. "
  • “El 1 de abril: Publicamos un blog para aclarar los hechos relacionados con el cifrado en nuestra plataforma, reconociendo y disculpándose por la confusión.”

Zoom es una herramienta confiable, pero es importante aprovechar su configuración para maximizar la seguridad de su uso. Desde Datasec estamos a disposición para la implantación y configuración de este tipo de soluciones garantizando su máxima seguridad. Se encuentra disponible más información sobre herramientas y recomendaciones para el teletrabajo seguro en nuestra web o pueden escribirnos a: ventas@datasec-soft.com - contacto@datasec-soft.com

Contáctenos

Con gusto los profesionales certificados de Datasec atenderán sus consultas.

Contacto >

Somos una firma presente en el mercado internacional desde 1987, pionera en el área del buen gobierno, aseguramiento, gestión de riesgos, calidad y seguridad en sistemas de la información (TI).

   

Miembro de