La popular aplicación de videoconferencia tiene graves fallos de seguridad y utiliza las tecnologías de los virus informáticos en su instalación

Para la empresa Zoom la pandemia se había convertido en una mina de oro, consiguiendo en un solo mes más usuarios que en todo el año 2019, pasando de 10 millones de usuarios a más de 200 en Marzo. Sin embargo las cosas pueden torcerse para la popular aplicación de videoconferencia.

En los últimos días se han multiplicado las noticias sobre gravísimos fallos de seguridad y filtraciones de datos personales, incluyendo vídeos de conversaciones privadas que se han hecho públicos en Youtube. También se ha descubierto un fallo de seguridad detrás de otro, afectando todas las plataformas: Windows, MacOS, iOS y Android:

A través de la aplicación para iPhone, Zoom ha estado enviando datos a Facebook sobre los hábitos de navegación y páginas visitadas de los usuarios, incluso aquellos que no disponían de cuenta de Facebook. Algo que por desgracia hacen muchas otras aplicaciones para móviles, y que los usuarios aceptan porque está en la letra pequeña de los términos de uso, que casi nadie lee. Sin embargo, Zoom no informaba de esta transmisión de datos.

Zoom no informaba de que estaba compartiendo datos de los usuarios con Facebook

Según informa la Electronic Frontier Foundation, Zoom permite controlar lo que hacen los participantes en una videoconferencia, incluyendo notificaciones que avisan cuando el usuario abre una ventana diferente a Zoom.

Peor aún, los administradores de una llamada pueden acceder a los contenidos de una conferencia grabada por uno de los usuarios, incluyendo el vídeo, audio y chat que haya tenido lugar. Esta función ha llevado a que algunos vídeos privados puedan verse públicamente, como por ejemplo sesiones grabadas entre psicólogos y sus pacientes, formaciones empresariales en las que los participantes indican su nombre y número de teléfono, clases de escuelas primarias y vídeos de gente desnuda en una clase de estética sobre cómo aplicar la depilación a la cera, según informa en Washington Post.

En el sistema operativo Windows, el programa Zoom puede servir como puerta para que un atacante obtenga el nombre de usuario y la contraseña de cualquiera que la utilice. Por otro lado, al contrario que otras aplicaciones que utilizan un cifrado seguro de la comunicación entre dos puntos, Zoom no ha estado usando ningún tipo de cifrado hasta el momento. Esto quiere decir que si un agente malicioso intercepta la conferencia, puede extraer toda la información de vídeo, audio y texto.

Como otras muchas empresas, Zoom dispone de un programa de recompensas para quienes encuentren fallos de seguridad y vulnerabilidades (bug bounty). Sin embargo este tiro también les ha salido por la culata.

El experto Jonathan Leitschuh renunció a la recompensa por descubrir una vulnerabilidad de Zoom porque eso le impediría divulgarla

En los ordenadores Mac, zoom instalaba un servidor web oculto para el usuario que potencialmente permite entrar en el sistema infectado a otros programas maliciosos con privilegios de administrador, y activar la cámara y el micrófono sin que el usuario se dé cuenta. También permitiría a la aplicación reinstalarse sin contar con el permiso del usuario, lo que abre la puerta a que otros programas puedan instalarse usando este agujero.

El experto Jonathan Leitschuh descubrió esta vulnerabilidad el año pasado, pero para cobrar la recompensa, Zoom insistió en que no podía hacerla pública en virtud de un NDA (Non Disclosure Agreement, acuerdo de no divulgación). Leitschuh renunció a la recompensa y les dio 90 días para arreglarlo.

La compañía Zoom no actualizó este fallo, así que Leitschuh publicó en InsoSec todos los detalles. Esto a su vez obligó a Apple a actualizar el sistema operativo de Mac para evitar que aplicaciones como Zoom pudieran tomar control a través de un servidor oculto, una técnica habitual en programas maliciosos.

SpaceX, la empresa aeroespacial de Elon Musk, dueño de Tesla, ha prohibido a sus empleados que utilicen Zoom debido a “dudas significativas sobre la seguridad y la privacidad” de la aplicación, en un comunicado al que tuvo acceso Reuters.

El 1 de abril el CEO de Zoom, Eric S. Yuan, publicó un comunicado en el que daba cuenta de algunos de los problemas que habían sido ya subsanados, entre ellos la extracción de datos para Facebook, y un plan de tres meses en el que no se añadiría ninguna nueva funcionalidad (feature freeze) sino que se trabajaría para corregir las vulnerabilidades y ofrecer de forma transparente los datos de la aplicación. Está por ver si esto bastará para recuperar la confianza de sus millones de usuarios.