Esta semana medios especializados revelaron la razón por la cual estuvo inhabilitada varios días la versión web de la plataforma de videollamadas Zoom. Al parecer, los desarrolladores estuvieron trabajando en la corrección de una grave vulnerabilidad que permitía descifrar fácilmente la contraseña de reuniones privadas. El fallo fue reportado por cientos de usuarios y estaría relacionado con el episodio reportado a finales de junio cuando hackers con máscaras del colectivo Anonymous ingresaron a una reunión virtual del ICBF y el Dane, noticia que le dio la vuelta al mundo.
De acuerdo con el portal Geeknetic, lo que permitía a cibercriminales acceder a reuniones privadas estaba basado en dos hechos. El primero es que había un millón de contraseñas que se podían descifrar de manera secuencial. El segundo es que no había un límite en la cantidad de errores que se podían cometer a la hora de ingresar una contraseña de sala, lo que dejaba una brecha importante para el ataque de hackers. Este mes los encargados de Zoom arreglaron otro fallo de la plataforma, conocida como la vulnerabilidad zero-day, la cual permitía a cualquier persona ejecutar comandos de manera remota en equipos que ingresaran a una videollamada que tuvieran el sistema operativo Windows 7 o versiones anteriores. Así lo explicó en su blog la compañía We Live Security, que detalló que desde que descubrió ese error “Zoom ha estado trabajando en mitigarlo y lanzó un parche para la versión 5.1.3 (28656.0709) junto con un comunicado en el que indica que la actualización “soluciona un problema de seguridad que afecta a los usuarios que corren el sistema operativo Windows 7 y versiones anteriores”.
Acros Security comentó en su blog que “la vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en la computadora de una víctima que tiene instalado el cliente de Zoom para Windows (cualquier versión actualmente compatible) al convencer al usuario para que realice algunas acciones típicas, como abrir un documento. Durante el ataque no se despliega ninguna advertencia de seguridad al usuario”, sin embargo, ya habría sido arreglada del todo.