La próxima vez que tu aplicación de Zoom Messenger te pida que hagas una actualización del programa, lo más inteligente será realizarla lo antes posible. Esto debido a que, durante una competencia de expertos en ciberseguridad (o hackers blancos), se descubrió una vulnerabilidad en el popular software de videollamadas que permite a un agentes maliciosos obtener control completo de tu computadora sin que tengas que dar un solo click.
La competencia en la que se dieron cuenta de esta vulnerabilidad que puede afectar tanto a usuarios de Windows como de Mac se llama Pwn2Own y se lleva a cabo cada año como parte de la Zero Day Initiative, un programa diseñado para encontrar vulnerabilidades en los servicios de internet más populares con el objetivo de solucionarlas.
En la edición 2021 del Pwn2Own, Zoom Messenger fue, de hecho, uno de los patrocinadores de la competencia junto a Tesla, Adobe y VMWare. Cuando inició la pandemia por la COVID-19 y la mayoría de los trabajos de oficina tuvieron que trasladarse a los hogares de las y los trabajadores, Zoom se volvió la plataforma predilecta para muchas de las empresas que se veían en la necesidad de hacer videoconferencias para seguir trabajando.
Sin embargo, junto con el acelerado crecimiento de las ventas y usuarios de Zoom Messenger, también crecieron las preocupaciones en torno a la seguridad de la plataforma. No sólo se dieron a conocer numerosos casos de personas infiltrándose en videollamadas (fenómeno al que se le llamó Zoom bombing), sino que también muchos expertos en ciberseguridad señalaron la cantidad de información que la empresa podía obtener de sus clientes según sus políticas de privacidad.
A inicios de Abril del 2020, la empresa comenzó su camino hacia ofrecer una mayor seguridad para sus usuarios. De hecho, contrató como consultor al ex Jefe de Seguridad (CSO) de Facebook, Alex Stamos, para dar pasos en torno a proteger la privacidad de sus clientes. El asunto se volvió de especial importancia cuando varias instituciones de gobierno comenzaron a hacer compras importante de productos de Zoom Messenger. Tan sólo en los Estados Unidos, diferentes dependencias de su gobierno gastaron un total de 1.4 millones de dólares en Zoom, según calculó Forbes.
El que Zoom Messenger patrocine competencias como la Pwn2Own podría considerarse como otro paso para mejorar su seguridad. El equipo de Computest, al diseñar una cadena de 3 bugs que les permitió una ejecución remota de código (RCE por sus siglas en inglés) mediante la cual toman el control de la computadora infectada con el malware sin que el objetivo del ataque tenga que dar un sólo click, ganó 200,000 dólares a manera de premio.
Los detalles del ataque (los cuáles todavía no son públicos) podrán ser aprovechados por Zoom Messenger para parchar el problema de seguridad en su próxima actualización. Durante los próximos 90 días la ruta para el ataque permanecerá en secreto, sin embargo, en su cuenta de Twitter, la Zero Day Initiative compartió una imagen gif donde se puede ver cómo se abre la aplicación de calculadora en la computadora infectada sin que se introduzca en ella ningún comando, prueba de que estaba siendo controlada a la distancia.
La Zero Day Initiative eligió ese nombre puesto que de esa manera se les conoce a los ciber ataques más peligrosos de los que puede ser objetivo una persona o servicio de internet. Se le llama un ataque de “día cero” pues le toma al atacante menos de 24 horas explotar una vulnerabilidad del software para infectarlo y cumplir sus objetivos. Esto ocurre cuando el o la hacker tiene conocimiento previo de la debilidad en el software, y puede usarla cuando mejor le convenga.
Zoom Messenger no fue la única aplicación que demostró ser vulnerable a los ataques de los “hackers blancos” que participaron en la Pwn2Own. Los buscadores Chrome y Safari también pudieron ser vulnerados por los atacantes. El sistema operativo de Windows 10 de igual manera demostró una vulnerabilidad en la que un usuario pueda escalar a tener privilegios de sistema; por ejemplo, en una computadora de oficina donde no cuentas con todos los permisos para manipular el sistema operativo o acceder a todos los archivos, el exploit ocupado podía permitir escalar a tener todos los permisos activados.
Microsoft Teams, competencia de Zoom, también fue víctima de un ataque exitoso donde se demostró que se podía ejecutar líneas de código en la computadora infectada.
Dada la variedad de vulnerabilidades explotadas en la competencia, es buena idea que la próxima vez que tu computadora te pida actualizar algún programa, lo hagas, puesto que probablemente la actualización incluya los parches para protegerte de las rutas de ataque encontradas en el Pwn2Own 2021.
Otras opciones para protegerte contra ataques de agentes maliciosos o también de la recolección de datos de Zoom es usar plataformas de código abierto como Jitsi. Aunque la interfaz puede ser un poco menos amigable, esta aplicación de videollamadas es completamente gratis y te ofrece más opciones de seguridad que Zoom Messenger.
SEGUIR LEYENDO: