Zoom no gana para disgustos. Esta semana se ha convertido en un auténtico infierno por la sucesión de informaciones que la están dejando en evidencia y que la han mostrado al mundo como una plataforma poco segura, que cuenta con algunos agujeros importantes que pueden poner en riesgo la integridad de nuestros ordenadores, ya tengan Windows 10 o macOS.

Como os contamos hace unos días, investigadores hallaron un bug que permitía a potenciales atacantes hacerse con el control del ordenador. Todo esto, apenas unas horas después de que se conociera que, en la aplicación para iOS, Zoom no dejaba de enviar datos personales y de actividad del usuario a Facebook. Y lo más grave, todo lo anterior lo llevaba a cabo sin avisar, lo que podéis imaginar que no sentó nada bien a todos los que han empezado a utilizarla por razones de teletrabajo durante el confinamiento obligatorio por el Covid-19.

Ahora, cuando lo último que conocíamos eran las disculpas y el propósito de enmienda por parte de la empresa para arreglar todos los agujeros, vuelven a la primera plana informativa nuevas fallas que tienen que ver con la seguridad de sus conversaciones. Chats de vídeo que podemos realizar con más de 100 personas a la vez y que le habían granjeado la confianza de equipos profesionales enteros.

¿Qué ha ocurrido ahora?

Según informa The Verge, un grupo de "profesionales de la seguridad" han realizado ataques de fuerza a la plataforma y han conseguido acceder a los detalles confidenciales de casi 2.4000 reuniones desarrolladas a través de Zoom. Para llevarlo a cabo tuvieron la idea de desarrollar un software, llamado zWarDial, que es capaz de adivinar los identificadores (ID) de cada reunión para, a continuación, indagar en los detalles de lo ocurrido en cada una de ellas.

Videollamadas en grupo con Zoom | Zoom

De esas casi 2.400 reuniones vulnerables a través de Zoom, los atacantes consiguieron el enlace a la conversación, la fecha, la hora y quién fue el organizador así como los principales temas que se trataron en ella. Imaginad el problema que esto supone cuando muchas empresas, en su día a día, exigen una confidencialidad absoluta a todos sus trabajadores y colaboradores para no compartir proyectos o trabajos que son un escrupuloso secreto.

Desde los responsables de la investigación se cree que la obligación de crear una contraseña para acceder a esos chats es completamente inútil y no evita que alguien pueda colarse sin permiso. Tanto es así que en el informe afirman que “Las contraseñas para las nuevas reuniones se han habilitado de manera predeterminada desde fines del año pasado [...] Estamos investigando casos límite únicos para determinar si, en ciertas circunstancias, los usuarios no afiliados con el propietario o administrador de una cuenta pueden no haber activado las contraseñas de manera predeterminada en el momento en que se realizó el cambio".

Esto significa que, todas aquellas cuentas anteriores a este cambio, no activaron por defecto esta opción, por lo que sin saberlo acabaron dejando sus chats colectivos expuestos a la curiosidad de terceros. Tanto es así que en el informe oficial afirman que Zoom "no es adecuado para los secretos", lo que se agrava por los evidentes vínculos que unen a la plataforma con China.

Por último, el cifrado tampoco parece estar a la altura de lo que la compañía garantiza ya que, desde Zoom, afirman que su clave de protección AES es de 256 bits mientras que los investigadores solo han podido verificar que son de 128. Veremos lo que ocurre en las próximas semanas y cómo Zoom sale de este problema en el que ha vuelto a caer.