Zoom está actualmente en boca de todo el mundo, no sólo por ser una gran alternativa a Skype, sino por los grandes problemas de seguridad que tiene. Grandes empresas como Google o Tesla han prohibido su uso, y el propio CNI en España ha desaconsejado su uso para conversaciones donde se traten temas sensibles. Y no es de extrañar, ya que se ha descubierto que se están vendiendo exploits por la red por cientos de miles de dólares, sumándose así a fallos en el cifrado que han permitido subir reuniones de Zoom a YouTube, entre otras situaciones similares.
Según Motherboard, hay hackers vendiendo dos vulnerabilidades críticas de Zoom en la Dark Web. Ambas son de día cero, una para Windows y otra para macOS, por un precio de 500.000 dólares. Estos fallos permiten a un atacante hackear cuentas de Zoom y espiar sus llamadas, aunque con algún que otro requisito previo.
500.000 dólares por espiar Zoom en Windows
En las últimas semanas ha habido un aumento de demanda por vulnerabilidades en Zoom, ya que se está usando para muchas comunicaciones entre empleados y ejecutivos de grandes compañías, donde se están tratando temas sensibles o incluso confidenciales. Por ello, acceder a información privilegiada puede dar una gran ventaja a una empresa competidora y otros programas para hacer videollamadas.
A principios de semana se descubrió en la Dark Web que había 500.000 cuentas a la venta de usuarios de Zoom que habían reutilizado contraseñas presentes en otros hackeos. Por culpa de ello, los atacantes han podido acceder a sus cuentas y robar nueva información de cada usuario. Por ello, os recomendamos cambiar la contraseña de Zoom para evitar futuros problemas.
La vulnerabilidad de Windows es “perfecta”, ya que permite ejecutar código de manera remota en la aplicación, aunque es necesario utilizarla junto con otra vulnerabilidad para tener acceso al ordenador completo. En el caso de macOS, no se puede ejecutar código de manera remota, lo que hace más difícil un ataque que la aproveche. El precio de 500.000 dólares es para la versión de Windows, mientras que para la de macOS no han confirmado precio. De hecho, hay investigadores de seguridad que afirman que las vulnerabilidades valen en torno a la mitad de lo que piden los hackers.
Zoom dice que no conoce la vulnerabilidad
Para que la vulnerabilidad funcione, es necesario que el atacante esté en una llamada con la víctima, por lo que es complicado llevar a cabo un ataque a una agencia de espionaje o a un competidor sin que les pillen o de manera anónima.
Zoom afirma que no tiene ninguna evidencia de la existencia de estas vulnerabilidades ni de que haya atacantes que se estén aprovechando de ellas, lo cual es raro porque cuando se usan estas vulnerabilidades, su detección se hace más fácil por parte de la compañía. Por tanto, os recomendamos muy encarecidamente que no utilicéis Zoom por todas las dudas que hay sobre su seguridad, y optéis por otras alternativas seguras como Hangouts o Skype.