La popular plataforma de comunicaciones Zoom había mantenido una puerta abierta a las videollamadas de sus usuarios. Eso es lo que se deprende del informe publicado este martes por la compañía de ciberseguridad Check Point Research y que corrobora la propia empresa en declaraciones a los medios.
El fallo de seguridad encontrado permitía que un tercero pudiese unirse a una reunión en vídeo —de las que pueden llevarse a cabo con Zoom— sin ser un invitado a la misma. Esto le hubiese permitido escuchar y, potencialmente, haber tenido acceso a cualquier fichero compartido durante el encuentro.
El problema: los identificadores de reunión
Los usuarios más habituales de esta plataforma ampliamente utilizada en el ámbito empresarial probablemente sepan que las reuniones de Zoom se identifican por un código de nueve, diez u once dígitos. El problema llega cuando los usuarios que convocan una reunión no han habilitado opciones adicionales como requerir una contraseña o habilitar la admisión manual.
Sin estas funciones activadas, el identificador de nueve, diez u once dígitos era la única barrera para que un tercero no invitado pudiese acceder a una reunión.
Y esta barrera era predecible, según los investigadores de Check Point Research, que encontraron una manera de predecir qué códigos pertenecían a reuniones válidas alrededor del 4 % de las veces. "Lo que es una posibilidad muy alta de éxito, en comparación con la fuerza bruta pura", explican. Además, fueron capaces de unirse a algunos de estos encuentros.
Los expertos en ciberseguridad comunicaron a Zoom la vulnerabilidad y aseguran que la empresa se puso rápidamente manos a la obra para solucionar el problema haciendo más largo el identificador, generándolos criptográficamente y la opción de requerimiento de contraseña la estableció como predeterminada. Esto sucedió en agosto, según ha explicado un portavoz a The Verge.
