Tras ser alertada por la firma de seguridad Check Point, el servicio de videollamadas Zoom confirmó la existencia de una falla que expuso a sus usuarios a piratas informáticos mediante invitaciones a falsas reuniones, pero aclaró que el problema ya había sido resuelto.
La vulnerabilidad habría permitido a los atacantes hacerse pasar por cuentas comerciales que aparentaban ser legítimas, con lo que podían suplantar las credenciales de las víctimas, robar datos e infectar los equipos con malware.
La falla residía en la función «Vanity URL» de Zoom, que permite a los usuarios comerciales generar enlaces personalizados para reuniones, por ejemplo, tucompania.zoom.us. Sin embargo, una falla en el sistema permitió vulnerar esta herramienta, según reporta The Next Web.
De esta manera, el atacante solo necesitaba transformar un enlace estándar de una reunión (https://zoom.us/j/##########) y agregar un subdominio personalizado de cualquier organización antes de la URL (tucompania. zoom.us/j/##########).
Otra estrategia para aprovechar la vulnerabilidad era aprovechar la interfaz web personalizada de Zoom. Según el informe, un hacker podría apuntar a dicha interfaz e intentar redirigir a un usuario para que ingresar a reunión falsa.
El uso de Zoom ha explotado durante el confinamiento asociado a la pandemia del coronavirus: de 10 millones de participantes en reuniones diarias en diciembre de 2019 creció a más de 300 millones en abril de 2020. Por lo mismo, se ha transformado en un lugar atractivo para los cibercriminales.
Según Check Point, un “atacante podría haber invitado a la víctima a unirse a la sesión a través del sitio web dedicado, y la víctima no habría tenido forma de saber que la invitación en realidad no provenía de la organización legítima».
En una declaración a Digital Trends en Español, la compañía enfatizó que «ha abordado el problema reportado por Check Point y ha establecido dispositivos de seguridad adicionales para la protección de sus usuarios». Asimismo, llamó a sus usuarios a «revisar minuciosamente los detalles de cualquier reunión a la que planeen asistir antes de unirse, y a entrar solo a las reuniones de los usuarios en los que confíen», además de recordar que está disponible el correo security@zoom.us para denunciar eventuales amenazas.
La compañía Check Point, una firma de seguridad de origen israelí, es la misma que trabajó con Zoom en enero de 2020 para resolver una vulnerabilidad que permitía a piratas informáticos unirse a una reunión, sin necesidad de tener una invitación.
