La pandemia del COVID-19 ha tenido un claro ganador: las plataformas de videoconferencias. Con el 34% de la fuerza laboral teletrabajando, miles de millones de personas se han volcado en estos servicios para poder realizar su trabajo, estudiar, comunicarse con familiares y amigos y seguir haciendo negocios y, en muchos casos, dirigiendo países.
Está claro que la brusquedad del confinamiento (un día estábamos en la oficina y al día siguiente en casa y sin saber durante cuánto tiempo), ha tenido un problema de fondo que a muchos les ha salido caro: se ha priorizado la disponibilidad del servicio frente a la seguridad de la plataforma.
En este artículo repasaremos las principales vulnerabilidades, problemas de privacidad y seguridad a los que se han enfrentado las plataformas de videoconferencia; y daremos algunas recomendaciones generales de seguridad para los usuarios.
Vulnerabilidades, problemas de privacidad y seguridad
La excepcionalidad de la situación ha puesto a prueba la distinta madurez de las organizaciones en teletrabajo y seguridad.
En la mayoría de los casos, la falta de infraestructuras o herramientas, ha reducido los plazos de decisión, optando por soluciones “populares” o más económicas, debido a la supuesta temporalidad de la situación.
Han primado, sobre todo, las plataformas cloud en pago por uso sobre la inversión en soluciones on premise.
Son muchas las plataformas que han tenido problemas de vulnerabilidades durante la cuarentena, pero sin duda, el protagonista ha sido el software de Zoom para realizar videollamadas y reuniones virtuales.
No sabemos a ciencia cierta si la plataforma no estaba del todo desarrollada antes de su explosión de popularidad o si primaron la facilidad de uso y la funcionalidad frente a la seguridad y privacidad. En cualquier caso, no siguieron las recomendaciones de las metodologías del ciclo de vida del desarrollo de software seguro (S-SDLC).
Como consecuencia, han surgido en estos meses todo tipo de fenómenos.
Desde el conocido como “Zoom Bombing”, la posibilidad de entrar en reuniones con contraseñas débiles o incluso sin contraseña o el UNC Path injection, un tipo de vulnerabilidad que permitía a un atacante interceptar las credenciales de Windows de la víctima.
Además, con el uso masivo de la aplicación aparecieron otros problemas, como grabaciones de reuniones privadas expuestas en Internet.
Para añadir más leña al fuego, los clientes de MacOs se encontraron con ciertas vulnerabilidades que permitían la elevación de privilegios y el acceso a la cámara y el micrófono.
En otros casos, al requerir autenticación con Facebook, se enviaba información relativa a la zona horaria, la ciudad y las redes sociales del usuario.
Y, por si fuera poco, se han incrementado exponencialmente los sitios fraudulentos relacionados con Zoom, que han aprovechado su éxito para distribuir malware.
Cronología de correcciones y rectificaciones
A raíz de las quejas de los usuarios por los problemas de seguridad que iban saliendo a la luz, Zoom comenzó a corregir y rectificar las deficiencias reportadas.
Aquí tienes una pequeña cronología de los cambios realizados por la plataforma durante los meses de marzo y abril:
- 20 de marzo: Zoom publica una entrada en su blog con recomendaciones de seguridad y reconoce imprecisiones en los términos de uso sobre del cifrado y la grabación de alguna de las charlas.
- 27 de marzo: Zoom actualiza su aplicación de iOS, eliminando la compatibilidad con Facebook.
- 29 de marzo: Zoom actualiza su política de privacidad, indicando que no va a comerciar con la información de sus usuarios.
- 2 de abril: se corrigen los fallos de los clientes de Windows y MacOs.
- 7 de abril: Zoom parchea una vulnerabilidad grave de la clave de cifrado de las salas de espera. Además, elimina la funcionalidad de “seguimiento de la atención de los asistentes”.
- 13 de abril: el portal Bleeping Computer saca a la luz la venta de casi medio millón de cuentas de Zoom en la red profunda.
- 14 de abril: Zoom notifica a sus usuarios con cuentas de pago que a partir del día 18 de abril podrán elegir a través de qué zonas geográficas enrutar su tráfico.
Otros ciberataques durante el confinamiento
Aunque Zoom ha sufrido numerosos problemas, no ha sido el único.
Usuarios de todo el mundo han sufrido ciberataques y abusos procedentes de otras fuentes. El malware para dispositivos móviles, los correos electrónicos y los SMS de Phishing, además de estafas relacionadas con productos desinfectantes y mascarillas han estado a la orden del día.
Los ataques MaaS (Malware as a Service) y el ransomware también han contribuido a que el usuario sea el elemento más vulnerable al software malicioso.
Recomendaciones generales de seguridad
Debido a estos problemas, tomar medidas de seguridad que garanticen la seguridad de las comunicaciones se ha vuelto más importante que nunca.
Estas son algunas de las recomendaciones de seguridad que deberías seguir si quieres que tus reuniones fluyan:
- Securiza las plataformas de videoconferencia y colaboración. Puedes consultar las guías del CCN para Zoom, Teams, Exchange Online, Office 365 y Azure para más recomendaciones.
- Usa múltiples factores de autenticación (Cisco DUO, Forti Token, Yubikey). Utilizar solo una contraseña ya no es suficiente.
- Analiza y protege tu navegación en la nube con una administración centralizada.
- Permite el acceso remoto solo a equipos controlados y seguros.
- Protege tu navegación con programas antivirus y EDR, un buen ejemplo es el servicio ESET NOD32.
- Mantén el control de tus equipos mientras estén fuera de tu red.
Pero, sobre todo, lo más importante es reforzar la seguridad de tus trabajadores transmitiéndoles la importancia de su papel en la seguridad de su organización y utilizando plataformas formativas y de simulación online específicas.
A través de la formación del uso seguro de sus herramientas de trabajo y dotándoles de herramientas sencillas que no lo compliquen, podrás escuchar sus necesidades y sugerencias.
Por último, recuerda que, aunque la máxima seguridad no existe, hay que protegerse de la mejor forma posible de las incidencias de privacidad que puedan suceder.
También le puede interesar leer nuestra revista tecnológica #4 SMtic: Revista #4 SMtic Sistemas e infraestructuras IT
Jose Ángel Gómez
CISO Semantic Systems