La Oficina de Seguridad del Internauta del INCIBE acaba de hacer pública una alerta de seguridad anunciando la detección de varias vulnerabilidades graves que afectan al popular software de videoconferencias Zoom. Ambas permitirían a un eventual atacante obtener una elevación de privilegios que le facilitaría acceder al audio y vídeo de cualquier reunión...
... incluyendo aquellas en las que el atacante no cuenta con invitación ni autorización para participar. Si, además, cuenta efectivamente con invitación a la videoconferencia afectada, estas vulnerabilidades siguen ofreciendo a quien las explota invisibilidad ante el resto de participantes.
El consejo de los desarrolladores de Zoom, que han hecho llegar a través de e-mail a sus usuarios, coincide con el difundido por el INCIBE: se resume en "actualizar la aplicación lo antes posible". Para ello, deberemos acceder al Centro de Descargas de Zoom, y bajar e instalar la última versión disponible.
"Desde INCIBE, a través de la Oficina de Seguridad del Internauta (OSI), recomendamos mantener las aplicaciones y programas correctamente actualizados. Y si la configuración lo permite, activar la opción de actualización automática".
La ciberseguridad de Zoom
No sabemos cuántos usuarios han recibido la comunicación de Zoom (y, por tanto, cuántos se han visto expuestos a dicha vulnerabilidad), pues la compañía mantiene la política de no hacer públicas dichas cifras. Sí se sabe, sin embargo, que presta servicio a 204.000 clientes empresariales, lo que permite tener una idea de las dimensiones de la aplicación y del peligro de que ésta sea vulnerable.
Las mencionadas vulnerabilidades han sido detectadas por el propio 'equipo de seguridad ofensiva' de Zoom, encargado de hackear su propio producto para detectar fallos antes que los cibercriminales. Por el momento, no hay noticias de que éstos últimos hayan logrado identificar y explotar estos bugs, por lo que quizá ninguna videoconferencia se haya visto expuesta aún...
...no, al menos, por estas vulnerabilidades, si bien Zoom cuenta con un historial especialmente malo en lo que respecta a problemas de seguridad, la mayoría de ellos detectados después de que la pandemia disparase en pocos meses la popularidad de esta aplicación. En aquella época, el CNI llegó a desaconsejar su uso en reuniones en las que se manejara 'información sensible'.
La noticia llega sólo un mes después de que se difundiera la noticia de que un reconocido experto en ciberseguridad, Patrick Wardle (el primo del creador del Wordle), había descubierto que una vulnerabilidad de la versión para Mac de Zoom, detectada y teóricamente solventada a comienzos de 2020, había reaparecido ahora, facilitando a cualquier atacante con acceso físico a nuestro equipo obtener privilegios de superusuario.
Horas después de la publicación original del artículo, fuentes de la compañía se pusieron en contacto con Genbeta para recalcar que el problema de seguridad ya está resuelto, "como hemos detallado en nuestra página del Boletín de Seguridad de Zoom" y para recomendar que los usuarios "cuenten con la versión actualizada de Zoom para poder aprovechar las últimas funcionalidades y actualizaciones de seguridad".
