Los problemas de seguridad de Zoom parecen estar lejos de terminar. Tom Anthony, analista de seguridad, descubrió un modo de acceder a las reuniones privadas protegidas por contraseña. Tras intentar acceder a una videollamada del Gobierno de Reino Unido, Anthony descubrió un fallo en el cliente web que no cuantifica el número de intentos fallidos al introducir la clave.

Por medio de una entrada en su blog, el analista menciona que el problema suele estar en la contraseña de seis dígitos que asigna Zoom por defecto para proteger las reuniones. Esto significa que existe 1 millón de contraseñas máximas, que al combinarse con la vulnerabilidad del cliente web de Zoom permite que un atacante pueda descifrar la clave en minutos.

Tom Anthony tomó como punto de partida una reunión que sostuvo Boris Johnson, Primer Ministro de Reino Unido, con su gabinete. Al tomar el id de la llamada — visible en una captura de pantalla publicada por Johnson — intentó unirse a la videollamada.

Un atacante podría descifrar la contraseña de tu videollamada en minutos

Zoom videollamada Boris Johnson
La reunión de Boris Johnson en Zoom pudo estar abierta a algunos hackers.

En el proceso descubrió varios detalles, como el número predeterminado de caracteres en una contraseña y que no existe una limitante de velocidad en intentos fallidos al usarla. Esto último resulta en un problema, puesto que un atacante puede iterar hasta conseguir el password y entrar a la reunión.

Pese a que no hay límite en los intentos repetidos, la velocidad está limitada por la rapidez con la que se pueden hacer solicitudes HTTP. Por medio de un script en Phyton ejecutado desde su ordenador casero, Anthony obtuvo la contraseña en menos de 30 minutos, tiempo que puede reducirse considerablemente si se realiza con 4 o 5 servidores en la nube.

Un atacante podría acceder a reuniones programadas anticipando la contraseña, un proceso que el usuario podría demorar si cambia la clave antes de la llamada. Otro problema tiene que ver con las reuniones periódicas ya que usan la misma contraseña. Una vez que se descifra, no es necesario ejecutar el proceso nuevamente.

El fallo fue corregido por Zoom hace algunas semanas

El fallo de seguridad fue descubierto hace semanas por el analista de seguridad, quien comunicó a Zoom su hallazgo. La empresa procedió a desconectar el cliente web por unos días para resolver el exploit. De acuerdo con Anthony, los ingenieros de la empresa parecían preocupados por la seguridad de la plataforma y apreciaron su informe, aunque no recibió una recompensa por comunicarlo.

La seguridad de Zoom ha estado en el centro de la polémica desde hace meses. Tras la pandemia de la COVID-19, el uso de la plataforma se intensificó y salieron a la luz sus vulnerabilidades. Para resolver el problema la empresa contrató a Alex Stamos, ex director de seguridad de Facebook, quien se integró como asesor para corregir el rumbo.

La polémica más reciente involucró al cifrado de punto a punto, una característica que en un principio estaba destinada a suscriptores de pago. Tras las críticas del resto de usuarios, Zoom tuvo que dar marcha atrás y anunciar la implementación en todas las videollamadas en algún momento de 2020.