The Washington Post revela que miles de videos de conferencias de Zoom fueron expuestos en Internet y están a la vista de todos, sumándose a la lista de vulnerabilidades a las que la compañía de videoconferencias se ha expuesto tras la pandemia por coronavirus.

Tal parece que el incremento del número de descargas de Zoom, así como el aumento de sus acciones durante la pandemia por coronavirus es proporcional a los ataques que ha sufrido la plataforma desde la cuarentena. Y es que además de estar en el ojo de los hackers por una serie de vulnerabilidades explotadas, el reporte reciente señala que miles de videollamadas fueron expuestas en la web y están a la vista de todos.

De acuerdo con el Post, los videos de Zoom filtrados también revelan detalles de información personal, así como contenido delicado de miles de conversaciones de los usuarios.

Los videos vistos por The Washington Post incluyeron sesiones de terapia individualizadas; una orientación de capacitación para trabajadores que realizan llamadas de telesalud que incluía los nombres y números de teléfono de las personas; reuniones de pequeñas empresas que incluían estados financieros de empresas privadas; y clases de primaria, en las que se exponían los rostros, las voces y los detalles personales de los niños.

Asimismo, la fuente señala que algunos videos muestran contenido íntimo y conversaciones privadas de las personas. De momento se desconoce el origen de la publicación de los videos pero se especula que el fallo se deba a la nomenclatura usada por Zoom para nombrar las grabaciones de videollamadas.

¿Un error de usuarios o una vulnerabilidad de Zoom?

Debido a que las videollamadas realizadas desde Zoom pueden ser grabadas y guardadas por los usuarios en su computador o en la nube, específicamente usando los servidores de Zoom, se podría especular que se trata de una serie de videos subidos por usuarios sin contraseñas accidentalmente.

Sin embargo, también se atribuye el error al hecho de que Zoom use la misma nomenclatura para nombrar los videos guardados, en este sentido, Mashable citó a el investigador de seguridad Patrick Jackson, que alertó al Post después de encontrar 15,000 ejemplos cuando realizó un análisis de almacenamiento en la nube no seguro.

Falcon 9 de SpaceX pone en órbita a 60 satélites Starlink

Zoom responde

Después de los reportes generados por los miles de videos de Zoom expuestos en Internet, un portavoz de la compañía respondió a Mashable vía correo electrónico:

Zoom notifica a los participantes cuando un anfitrión elige grabar una reunión y proporciona una manera segura para que los anfitriones almacenen grabaciones. Las reuniones de Zoom solo se graban a elección del anfitrión, ya sea localmente en la máquina del anfitrión o en la nube de Zoom. Si los anfitriones luego eligen cargar sus grabaciones de la reunión en cualquier otro lugar, les instamos a que tengan mucho cuidado y sean transparentes con los participantes de la reunión, considerando cuidadosamente si la reunión contiene información confidencial y las expectativas razonables de los participantes.

Si bien estos errores podrían atribuirse al desconocimiento por parte de los usuarios, no es la primera vez que la plataforma presenta inconvenientes de este tipo por fallos sde seguridad en sus servidores.

De hecho, en 2019 se conoció acerca de una vulnerabilidad en los servidores de Zoom que generaba una falla a los de Apple al permitir que cualquier sitio web malicioso encendiese la cámara e incluso realizar un ataque de DNS como en las versiones anteriores.

Posteriormente se conoció que Zoom instalaba un servidor local en las mac para saltarse una validación de sesión en Safari, que generaba una vulnerabilidad del día cero en estos equipos.

Nuevos ataques a Zoom

Asimismo, debido a que Zoom cuenta con una característica que permite que una persona pueda compartir el enlace de la videollamada  a través de una URL se ha incrementado el número de ataques “Zoom-bombing”, o bombardeo de Zoom designado recientemente por el FBI después de recibir denuncias de que hackers interrumpen en las videoconferencias con insultos y amenazas raciales.

Ciberdelincuentes se han aprovechado de la pandemia de coronavirus para intensificar el número de ataques en línea a personas que se dedican al teletrabajo, a través de plataformas de aprendizaje e-learning y herramientas de videoconferencias, sin embargo, en este punto una de las compañías que se ha visto más afectada a sido Zoom.

Más en TekCrispy