La popular plataforma de comunicaciones Zoom había mantenido una puerta abierta a las videollamadas de sus usuarios. Eso es lo que se deprende del informe publicado este martes por la compañía de ciberseguridad Check Point Research y que corrobora la propia empresa en declaraciones a los medios.
El fallo de seguridad encontrado permitía que un tercero pudiese unirse a una reunión en vídeo —de las que pueden llevarse a cabo con Zoom— sin ser un invitado a la misma. Esto le hubiese permitido escuchar y, potencialmente, haber tenido acceso a cualquier fichero compartido durante el encuentro.
El problema: los identificadores de reunión
![Web de Zoom](https://i.blogs.es/03f864/1366_2000-1-/450_1000.webp)
Los usuarios más habituales de esta plataforma ampliamente utilizada en el ámbito empresarial probablemente sepan que las reuniones de Zoom se identifican por un código de nueve, diez u once dígitos. El problema llega cuando los usuarios que convocan una reunión no han habilitado opciones adicionales como requerir una contraseña o habilitar la admisión manual.
Sin estas funciones activadas, el identificador de nueve, diez u once dígitos era la única barrera para que un tercero no invitado pudiese acceder a una reunión.
Y esta barrera era predecible, según los investigadores de Check Point Research, que encontraron una manera de predecir qué códigos pertenecían a reuniones válidas alrededor del 4 % de las veces. "Lo que es una posibilidad muy alta de éxito, en comparación con la fuerza bruta pura", explican. Además, fueron capaces de unirse a algunos de estos encuentros.
Los expertos en ciberseguridad comunicaron a Zoom la vulnerabilidad y aseguran que la empresa se puso rápidamente manos a la obra para solucionar el problema haciendo más largo el identificador, generándolos criptográficamente y la opción de requerimiento de contraseña la estableció como predeterminada. Esto sucedió en agosto, según ha explicado un portavoz a The Verge.