Skip to main content

Usuarios de Zoom estuvieron expuestos a hackers en reuniones

Tras ser alertada por la firma de seguridad Check Point, el servicio de videollamadas Zoom confirmó la existencia de una falla que expuso a sus usuarios a piratas informáticos mediante invitaciones a falsas reuniones, pero aclaró que el problema ya había sido resuelto.

La vulnerabilidad habría permitido a los atacantes hacerse pasar por cuentas comerciales que aparentaban ser legítimas, con lo que podían suplantar las credenciales de las víctimas, robar datos e infectar los equipos con malware.

La falla residía en la función «Vanity URL» de Zoom, que permite a los usuarios comerciales generar enlaces personalizados para reuniones, por ejemplo, tucompania.zoom.us. Sin embargo, una falla en el sistema permitió vulnerar esta herramienta, según reporta The Next Web.

De esta manera, el atacante solo necesitaba transformar un enlace estándar de una reunión  (https://zoom.us/j/##########) y agregar un subdominio personalizado de cualquier organización antes de la URL (tucompania. zoom.us/j/##########).

Otra estrategia para aprovechar la vulnerabilidad era aprovechar la interfaz web personalizada de Zoom. Según el informe, un hacker podría apuntar a dicha interfaz e intentar redirigir a un usuario para que ingresar a reunión falsa.

Un teléfono con la aplicación Zoom junto a una computadora
Imagen utilizada con permiso del titular de los derechos de autor

El uso de Zoom ha explotado durante el confinamiento asociado a la pandemia del coronavirus: de 10 millones de participantes en reuniones diarias en diciembre de 2019 creció a más de 300 millones en abril de 2020. Por lo mismo, se ha transformado en un lugar atractivo para los cibercriminales.

Según Check Point, un “atacante podría haber invitado a la víctima a unirse a la sesión a través del sitio web dedicado, y la víctima no habría tenido forma de saber que la invitación en realidad no provenía de la organización legítima».

En una declaración a Digital Trends en Español, la compañía enfatizó que «ha abordado el problema reportado por Check Point y ha establecido dispositivos de seguridad adicionales para la protección de sus usuarios». Asimismo, llamó a sus usuarios a «revisar minuciosamente los detalles de cualquier reunión a la que planeen asistir antes de unirse, y a entrar solo a las reuniones de los usuarios en los que confíen», además de recordar que está disponible el correo security@zoom.us para denunciar eventuales amenazas.

La compañía Check Point, una firma de seguridad de origen israelí, es la misma que trabajó con Zoom en enero de 2020 para resolver una vulnerabilidad que permitía a piratas informáticos unirse a una reunión, sin necesidad de tener una invitación.

Recomendaciones del editor

Rodrigo Orellana
Ex escritor de Digital Trends en Español
Twitter, Facebook, Instagram, WhatsApp, Telegram, criptomonedas, metaverso, son algunos de los temas que aborda el periodista…
Elon Musk anuncia liberación de nombres de usuario inactivos en Twitter
Unión Europea da un tirón de orejas a Twitter.

El CEO de Twitter, Elon Musk, anunció el pasado fin de semana que habrá una purga importante de nombres de usuario que se liberarán para ser reutilizados en la plataforma social.

Según Musk, la purga de Twitter es más conservadora de lo que dice la política. En cambio, dice que la compañía está purgando cuentas que no han tenido "ninguna actividad en absoluto durante varios años", al tiempo que advierte a los usuarios que el resultado de la purga puede significar que el número de seguidores de los usuarios disminuya. Eso es algo que puede ser más notable en las cuentas de Twitter de larga data cuyos propietarios acumularon un gran número de seguidores durante los primeros días de Twitter como red social.

Leer más
Cambio en Discord te obligará a modificar tu nombre de usuario
discord actualizacion cambio nombre usuario username

Una actualización de Discord hará que todos los que son usuarios de la plataforma social tengan que cambiar su nombre de usuario. , Esto porque el código "discriminador" de cuatro dígitos al final de cada nombre de usuario está desapareciendo. Como resultado de esto, cada usuario tendrá que elegir un nuevo nombre de usuario que será único para ellos.

La publicación del blog de Discord reconoció que el objetivo de esto era hacer que la aplicación se pareciera más a otras plataformas sociales. Se parecerá más a Twitter después del cambio, ya que los usuarios tendrán nombres de usuario de back-end únicos (comenzando con una @, por supuesto) con nombres públicos para mostrar que no son únicos. En otras palabras, ya no puede compartir su nombre de usuario con otra persona (el código de cuatro dígitos permitido para eso), pero los nombres para mostrar no están sujetos a esa restricción.

Leer más
Microsoft bautiza a los hackers con nombres de desastres climáticos
microsoft hackers nombres desastres climaticos hacker tormenta

Una nueva taxonomía están recibiendo los hackers de parte de Microsoft, ya que está bautizando a los piratas informáticos con nombres de desastres climáticos: como tormenta, ventisca o tornado.

Los hackers ahora recibirán el nombre de eventos como tormentas, tifones y ventiscas, como parte de ocho grupos que Microsoft está utilizando para rastrear ataques cibernéticos.

Leer más