This post is also available in: Português Español
La pandemia del coronavirus forzó a muchas personas a hacer trabajo remoto.
Por eso, las empresas realizan a diario reuniones usando los servicios de videoconferencia de Zoom.
No obstante, sin la protección de una contraseña, hay grandes probabilidades de que su reunión vía Zoom pueda ser “bombardeada vía Zoom”, o sea, atendida o interrumpida por alguien que no fue invitado.
De acuerdo con los datos recolectados por una herramienta nueva automatizada que descubre reuniones Zoom, que es llamada “zWarDial”, un número absurdo de reuniones en empresas reconocidas, no están siendo protegidas con contraseña.
Según los fabricantes de zWarDial, la herramienta puede encontrar alrededor de 110 reuniones por hora y cerca de 14% son exitosas.
Fuente: KrebsOnSecurity, 2020.
Cada llamada de conferencia de Zoom tiene una ID numeral que cuanta con 9 a 10 dígitos.
Los cibercriminales descubrieron que pueden sencillamente, adivinar o automatizar y descubrir IDs aleatorios en ese espacio de dígitos.
Los especialistas en seguridad, ya habían hecho un análisis semejante y descubrieron que eran capaces de predecir aproximadamente 4% de los códigos de reunión generados aleatoriamente.
Zoom respondió que estaba activando las contraseñas automáticamente en todas las reuniones futuras agendadas.
Además, Zoom dijo que bloquearía los intentos repetidos de buscar reuniones por ID y que no indicaría más si un ID de reunión era válido o inválido.
Sin embargo, la cantidad de Zoombombing se disparó en las últimas semanas, llegando a alertar al FBI sobre somo asegurar reuniones contra fisgones y criminales.
Eso quiere decir que muchos usuarios de Zoom desactivaron las contraseñas, automáticamente configuradas, y que la nueva herramienta de seguridad de la aplicación no está funcionando de acuerdo a lo esperado.
Al inicio de la semana, KrebsOnSecurity escuchó a Trent Lo, profesional de seguridad y fundador de SecKC, el mayor encuentro mensual de seguridad de Kansas.
Lo y algunos miembros de la SecKC fueron los creadores de zWarDial, nombre inspirado en los antiguos programas de discado de teléfono que llamaban a números aleatorios o secuenciales en un determinado prefijo para procurar módems de computador.
Según Lo, zWarDial evita los intentos de Zoom de bloquear las verificaciones automáticas de las reuniones, ruteando las búsquedas por medio de varios proxies en Tor, un software gratuito y de código abierto que permite que los usuarios naveguen en la web anónimamente.
“Zoom mencionó, recientemente, que corrigió en problema, pero usando un URL totalmente diferente y pasando una cookie junto con ese URL. Eso me da las informaciones de la sala (Zoom meeting) sin necesitar hacer login”, dijo Lo, describiendo en parte, cómo funciona la herramienta en back-end.
Una sola solicitud del zWarDial puede encontrar aproximadamente 100 reuniones por hora, pero varias solicitudes de la herramienta en ejecución en paralelo, probablemente pueden descubrir a la mayoría de las reuniones abiertas de Zoom en un determinado día.
Cada solicitud tiene una tasa de éxito de aproximadamente 14%, o sea, para cada número de reunión aleatoria que él intenta, el programa tiene 14% de probabilidad de encontrar la reunión abierta.
“Solamente las reuniones protegidas por una contraseña son indetectables por zWarDial”, dijo Lo. “Tener una contraseña activa en la reunión en la única cosa que lo vence”.
Lo, compartió la salida del escaneo zWarDial de un día, y reveló informaciones de casi 2400 reuniones de Zoom futuras o periódicas.
Esas informaciones incluían el link necesario para participar de cada reunión, la fecha y la hora de la reunión, el nombre del organizador de la reunión, y cualquier otra información que el organizador de la reunión comente sobre el tópico de la misma.
Los resultados fueron sorprendentes y revelaron detalles sobre las reuniones en Zoom agendadas por algunas de las empresas más grandes de mundo, incluyendo Bancos, empresas internacionales de consultoría, servicios de transporte ejecutivo, empresas contratadas por el gobierno y empresas de inversiones.
El mayor grupo de empresas que expone sus reuniones con Zoom, está en el sector tecnológico, e incluye varios proveedores de seguridad y tecnología en nube.
Incluye por lo menos una empresa de tecnología dirigida a redes sociales, poniendo a todo el mundo al tanto, de la urgencia de proteger las reuniones de Zoom con una contraseña.
¿El Gremlin de las normas?
BrebsOnSecurity le preguntó a Zoom si su táctica de adicionar las contraseñas de manera automática a todas las reuniones nuevas, estaba funcionando como esperado.
En respuesta, Zoom, dijo que estaba investigando la posibilidad de que su táctica pueda fallar en determinadas circunstancias.
“Zoom incentiva a sus usuarios implementen la contraseña para todas las reuniones para asegurar que los usuarios no invitados puedan participar”, dijo la empresa.
“Las contraseñas para nuevas reuniones fueron activadas automáticamente desde el final del año pasado, a menos que los propietarios o administradores de la cuenta opten por no participar. Estamos analizando casos extremos exclusivos para determinar si, sobre ciertas circunstancias, usuarios no afiliados al administrador de una cuenta tal vez no tenga la contraseña activada automáticamente al momento en que se hizo la alteración”.
El reconocimiento ocurre en medio de una serie de obstáculos de seguridad y privacidad para Zoom, que presenció su base de datos crecer extraordinariamente en las últimas semanas, debido al coronavirus.
Eric Yuan, fundador y CEO de Zoom, dijo en un post reciente de su blog que el número máximo de participantes diarios de una reunión (incluyendo pagos y gratuitos) creció de cerca de 10 millones en diciembre del 2019 a 200 millones en marzo del 2020.
Tal crecimiento rápido trajo un examen adicional a los especialistas de seguridad y privacidad digital, quienes encontraron diversos problemas, tanto existentes como potenciales relacionados al trabajo que últimamente se realiza.
Yuan reconoció que su empresa ha luchado para estar al día con la demanda de sus servicios y los problemas adicionales que lo acompañan. Él declaro que, en los próximos 90 días, estaría congelado todo desarrollo de nuevos recursos, para que, de esa manera, los ingenieros de la empresa puedan concentrarse en la seguridad.
Lo, hizo una advertencia a las organizaciones que usan Zoom, para que eviten postar links de la reunión en redes sociales, y siempre exijan contraseña de la reunión, en lo posible.
“Por patrón, eso debería estar activado como un cliente nuevo o usuario de pruebas. Las organizaciones heredadas deberán verificar sus configuraciones de administración para asegurarse que estén activadas. Usted también puede activar un ‘incluir contraseña en el enlace de la reunión’. Eso impedirá que alguien indeseado acceda a la reunión sin perder la opción de compartir el link para participar”.
Además, los usuarios de Zoom pueden desactivar la opción “Permitir que los participantes participen en la reunión antes de la llegada del anfitrión”.
“Si usted necesita activar esta función, active por lo menos la opción ‘notificar cuando los participantes se unan a la reunión antes de que llegue el anfitrión’, aconsejó Lo. “Será notificado de que alguien pueda estar usando su reunión sin su consentimiento. Y si usted necesita dejar su reunión desprotegida, active ‘Enmascarar el número de teléfono en la lista de participantes’. El uso de la función de lista de espera evitará que los participantes no deseados accedan a la reunión, pero seguirá exportando los detalles de la reunión si se utiliza sin una contraseña».
Vea algunos de los ajustes disponibles en el Zoom:
Fuente: KrebsOnSecurity, 2020.
Via: KrebsOnSecurity.
This post is also available in: Português Español