Check Point Research, la división de Inteligencia de Amenazas de la firma de ciberseguridad, ha descubierto vulnerabilidades críticas en Zoom, el popular servicio de videoconferencia utilizado por más del 60% de las empresas de la lista Fortune 500 y que cuenta con más de 74.000 clientes en todo el mundo.

Los investigadores de la compañía identificaron un importante fallo de seguridad en Zoom, por medio del cual los hackers podían generar y verificar fácilmente los ID de las reuniones de esta aplicación para dirigirse a las víctimas. De esta forma, un cibercriminal puede espiar las conversaciones que se mantienen a través de este servicio y tener acceso a todos los archivos (audio, vídeo o cualquier otro tipo de documento) que se compartiesen durante la reunión.

Los identificadores de reuniones de Zoom son puntos de acceso para los participantes que forman parte de una reunión que se celebra a través de esta aplicación. Normalmente, estos números de identificación están formados por cifras de entre 9 y 11 dígitos que suelen estar incluidos en la URL (por ejemplo, https://zoom.us/j/93XXX9XXX5).

Los investigadores de Check Point, sin embargo, descubrieron que un hacker podía generar previamente una larga lista de ID de reuniones de Zoom, utilizar técnicas de automatización para verificar rápidamente si eran válidos y, a continuación, entrar en las reuniones de Zoom que no estuvieran protegidas por contraseña.

Check Point ya ha informado a Zoom de estos hallazgos, y ha colaborado a la hora de publicar una serie de correcciones y nuevas funcionalidades para parchear completamente los fallos de seguridad. Como consecuencia, Zoom ha introducido las siguientes características y funcionalidades de seguridad en su tecnología:

1.-Contraseñas por defecto: las contraseñas se añaden por defecto a todas las reuniones programadas.

2.-Permitir a los usuarios añadir contraseñas: los usuarios pueden agregar una contraseña a las reuniones ya programadas y recibir instrucciones por correo electrónico sobre cómo hacerlo.

3.-Aplicar contraseñas a nivel de cuenta y de grupo: el administrador de la cuenta puede modificar la configuración de las contraseñas y aplicarla tanto a nivel de cuenta como de grupo.

4.-Validación del ID de la reunión: Zoom ya no indicará automáticamente si un ID de reunión es válido o no, por lo que, con cada intento, la página se cargará e intentará unirse a la reunión. Por lo tanto, un cibercriminal no podrá delimitar rápidamente el número de reuniones a las que intentar unirse.

y 5.-Bloqueador de dispositivos: los intentos repetidos de buscar ID de reunión harán que un dispositivo se bloquee durante un período de tiempo.

Eusebio Nieva, director técnico de Check Point para España y Portugal, señala que “cada vez se usan más aplicaciones de este tipo en el ámbito profesional, sobre todo para facilitar la comunicación a la hora de mantener reuniones con personas que se encuentran en distintas ubicaciones». «Por este motivo, es fundamental garantizar la seguridad a la hora de utilizar este tipo de servicios, sobre todo teniendo en cuenta que en muchos casos se emplean para compartir información confidencial que, en manos equivocadas, puede suponer un grave riesgo para la seguridad de la información corporativa”, añade.