La app de videoconferencia Zoom, en el ojo del huracán por los ciberincidentes

 

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Aunque no es el único objetivo, Zoom ha sido objeto de algunos de los incidentes más destacados en lo que va de año, explica Trend Micro. A su juicio, la app de videoconferencia es, en muchos sentidos, víctima de su propio éxito. Se han planteado preocupaciones de seguridad sobre ella en el pasado, después de que los investigadores revelaran un fallo de día cero en 2019 en la app para Mac  que podría haber permitido a los hackers espiar a los usuarios a través de sus cámaras web. Más tarde, investigaciones separadas revelaron un ataque de enumeración dirigido a la API que afectaba a la plataforma, aunque no se cree que ninguno de ellos haya sido sobreexplotado.

Sin embargo, Trend Micro considera que “las cosas han cambiado” con gran parte del mundo utilizando la plataforma para realizar reuniones de negocios y videollamadas personales con el estallido de la crisis.

Hay varios riesgos que hay que tener en cuenta. El primero es el de varias nuevas vulnerabilidades descubiertas en la plataforma: una de ellas podría permitir a los hackers robar las contraseñas de Windows, y otras dos podrían permitir a los atacantes instalar remotamente malware en los Macs afectados y espiar las reuniones. No obstante, la mayor parte de la cobertura de noticias se centra en "Zoombombing", cuando los usuarios no invitados interrumpen las reuniones. Esto sucede a menudo cuando se llevan a cabo eventos semipúblicos a gran escala y las identificaciones (ID) de las reuniones se comparten en las redes sociales. Si no hay una contraseña para la reunión y no se examina a los asistentes, pueden  aparecer y, una vez en la "reunión", los intrusos suelen publicar comentarios ofensivos, transmitir contenido para adultos o hacer otras cosas para perturbar el evento.

Las mismas técnicas subyacentes podrían ser utilizadas por los hackers para espiar o interrumpir las reuniones de negocio. Se trata de aprovechar las configuraciones inseguras de la app, (y posiblemente usar herramientas de fuerza bruta para descifrar las ID de las reuniones).

Con el acceso a una reunión, los hackers podrían recoger información corporativa altamente sensible y/o crítica para el mercado, o incluso propagar malware a través de una función de transferencia de archivos.

La última amenaza es de ataques de phishing. Los hackers saben que los usuarios buscan en masa maneras de comunicarse durante los confinamientos dictados por los gobiernos. Al crear enlaces y sitios web de Zoom de aspecto legítimo, podrían robar detalles financieros, propagar malware o recoger números de ID de Zoom, lo que les permitiría infiltrarse en reuniones virtuales. Un proveedor descubrió que se habían registrado 2.000 nuevos dominios solo en marzo, más de dos tercios del total del año hasta ahora.

Este es el análisis de Trend Micro, pero no ha sido la única compañía en alertar sobre la situación. Por su parte, CyberArk, pone el acento en que, tras conocerse el error de privacidad del iPhone en Zoom, una nueva investigación ha descubierto ahora que los atacantes pueden usar la función de chat grupal del cliente Zoom de Windows para mostrar enlaces que dejan al descubierto las credenciales de la red de Windows de cualquiera que haga clic en ellos.

La función de chat grupal permite a los usuarios enviar mensajes a otros participantes en una reunión y convierte las URL en hipervínculos para que el destinatario abra una página web en un navegador. En este sentido, Shay Nahari, Jefe de Red Team Services de CyberArk, explica que “la vulnerabilidad que permitiría a los atacantes utilizar la función de chat de grupo de clientes de Zoom para Windows con el objetivo de obtener las credenciales de red de Windows, es un comportamiento conocido de Windows que tiene que ver con la respuesta al desafío NTLM. Esto está relacionado con la forma en que Windows maneja el antiguo protocolo de autenticación NTLM (antes Kerberos). Debido a que Zoom se basa en la interfaz RichEdit de Microsoft para manejar rutas UNC en nombre del cliente Zoom, permite a los atacantes aprovecharse de aplicaciones comunes y lanzar ataques más potentes en las redes corporativas".

Qué se puede hacer
La buena noticia es que hay varias cosas que se pueden hacer para mitigar los riesgos de seguridad asociados con Zoom, tal y como se indica desde Trend Micro.

Las más básicas son asegurarse de que Zoom siempre esté en la última versión del software y concienciar sobre las estafas de phishing de Zoom en los programas de capacitación de usuarios. “Los usuarios solo deben descargar el cliente Zoom de un sitio de confianza y verificar si hay algo sospechoso en la URL de la reunión al unirse a una reunión”, señala.

Además, todos los teletrabajadores deben tener un programa antimalware, que incluya la detección de phishing instalada de un proveedor de confianza

A continuación, es importante revisar los ajustes de administración de la aplicación para reducir las oportunidades de los hackers y los Zoombombers. Lo más importante es proteger el Zoom Personal Meeting ID, un número de 9-11 dígitos que tiene cada usuario. Si un hacker se apodera de esto, y la reunión no está protegida por una contraseña, podrían acceder a ella. Un correo electrónico filtrado o simples técnicas de fuerza bruta/especulación podrían permitir a un hacker comprometer el ID y la URL asociada. En el caso de reuniones recurrentes, la amenaza persiste.

Afortunadamente, las contraseñas generadas automáticamente ahora están activadas de forma predeterminada, y el uso de identificaciones de reuniones personales está desactivado, lo que significa que Zoom creará una identificación aleatoria y única para cada reunión. Esta configuración debe mantenerse tal cual.

Las organizaciones deben comprobar esto pero también que no se comparta la ID de ninguna reunión, que se desactive las "transferencias de archivos" para mitigar el riesgo de malware, que solo los usuarios autenticados puedan participar en las reuniones, que la reunión se bloquea una vez que haya empezado para evitar que alguien se una a ella, que se utiliza la función de sala de espera, así el anfitrión o host solo puede permitir asistentes de un registro preasignado, que se reproduzca un sonido cuando alguien entre o salga de la reunión, y que se permita que el anfitrión ponga a los asistentes en espera, eliminándolos temporalmente de una reunión si es necesario.

David Higgins, director técnico de CyberArk, aporta algunas soluciones ante el aumento de los ataques y los problemas de seguridad del trabajo remoto, y subraya que “es importante conocer el peligro de hacer clic en enlaces o trabajar con Wifi insegura, además de implementar tecnologías como la administración de acceso privilegiado, que limita el daño si éste se produce, para ayudar a proteger los datos y los sistemas críticos de atacantes intentando aprovechar las nuevas circunstancias del trabajo remoto”.

Diez consejos a la hora de utilizar cualquier aplicación

Kaspersky también se ha hecho eco de que, en la situación actual, las reuniones presenciales han dado paso a las virtuales, a través de apps. Sus expertos han reunido una serie de consejos que debemos  tener en cuenta a la hora de utilizar cualquier aplicación:

1. Revisar cuidadosamente su configuración de privacidad y seguridad.

2. Usar contraseñas únicas y complejas para todas las cuentas online.

3. Limitar lo que se puede ver y compartir.

4. No confiar en nadie y comprobar la autenticidad de los contactos que se han puesto en comunicación con usted en una aplicación.

5. Deshabilitar funciones a menos que se estén usando o necesitar habilitar el acceso (por ejemplo, el micrófono, el acceso a la cámara, etc.).

6. No compartir en exceso; no publique nada si no se quiere que todo el mundo lo vea.

7. Denunciar el abuso.

8. Proteger todos sus dispositivos con un producto de seguridad fiable.

9. Instalar las actualizaciones del sistema operativo y de las aplicaciones tan pronto como estén disponibles

10. Si lo que va a descargar es por motivos laborales, emplear la aplicación recomendada o proporcionada por la empresa, en lugar de favorita para reuniones de grupo.