La aplicación Zoom de videollamadas ha sido una de las más descargadas en España desde que comenzó la cuarentena. Sin embargo, un anuncio de un fallo de seguridad ha puesto en entredicho su fiabilidad.
El propio equipo de Zoom detectó y alertó, hace días, de una vulnerabilidad que dejaba una puerta abierta a que los hacker accediesen a cuentas particulares, colasen archivos maliciosos en los dispositivos y suplantasen personalidades.
El fallo de seguridad, supone que el atacante pueda hacerse con el nombre de usuario y el hash de su contraseña de Windows (un código único generado automáticamente a partir de la contraseña), con el que podría hacerse con el control del equipo.
A raíz de los tuits publicados por la Guardia Civil, que ya advirtió a principios de mes de que los atacantes estaban aprovechando la popularidad de Zoom para «registrar nuevos dominios y distribuir malware», circula también por Whatsapp un mensaje que, insta a borrar la cuenta de Zoom y a desinstalar la aplicación de videoconferencias en todos los dispositivos. No obstante, en ningún momento la Guardia Civil ni el Grupo de Delitos Telemáticos han recomendado seguir este procedimiento. Simplemente se urge a mantener aplicaciones y programas correctamente actualizadas, en cualquier caso.
La vulnerabilidad descubierta afectaba al sistema operativo Windows, pero únicamente a las versiones anteriores a la 4.6.9. La manera de explotarla consistiría en enviar a la víctima una serie de caracteres representando una ruta de red del estilo de ‘\\direccion\ruta’, que la aplicación de Zoom para Windows convertiría automáticamente en un enlace. Si el usuario hacía clic en este enlace, enviaría su nombre de usuario y el hash de su contraseña de Windows al atacante, lo que le abría el acceso a su equipo».
La propia compañía confirmó la existencia de esta vulnerabilidad, y su solución en un comunicado de actualizaciones de Zoom para Windows, tras reconocer los retos que Zoom está afrontando en el contexto actual, también en el ámbito de la seguridad y privacidad de sus usuarios.