La seguridad es el talón de Aquiles de Zoom. Desde hace algún tiempo la empresa está lidiando con las vulnerabilidades mientras su uso aumenta gracias a la pandemia de la COVID-19. Afortunadamente la empresa está tomando cartas en el asunto y hoy anunció que ya está disponible la verificación en dos pasos para las aplicaciones móviles y de escritorio.
Por medio de una entrada en su blog, Zoom detalló las ventajas de asegurar la cuenta de usuario con esta característica e invitó a todos a activarla. La verificación en dos pasos funciona con apps de autenticación que admiten el protocolo de contraseña única basada en tiempo (TOTP). Ejemplos de ellas son Google Authenticator, Microsoft Authenticator y FreeOTP.
Los usuarios también tienen la opción de que Zoom les envíe un código por SMS o llamada telefónica, como ocurre con otros servicios que ofrecen esta característica de seguridad. Con este anuncio, Zoom activa la verificación en dos pasos en sus tres plataformas ya que anteriormente solo estaba disponible para la web.
Para configurar la verificación en dos pasos de Zoom, los administradores primero tendrán que activar esta opción dentro del menú de Seguridad. Para conseguirlo necesitarán acceder desde la web con su cuenta y habilitar Inicio de sesión con Verificación en dos pasos dentro de la configuración avanzada.
Posteriormente los usuarios elegirán si quieren usar una aplicación de autenticación o recibir el código por SMS. Debido a que los códigos por mensaje de texto son más fáciles de interceptar, lo recomendable sería usar una app como Google Authenticator para obtener el código de acceso.
Zoom sigue apostando por los usuarios de pago en su estrategia de seguridad
Al igual que ocurre con el inicio de sesión único, la verificación en dos pasos solo está disponible para los usuarios de pago. Zoom nuevamente apuesta por quienes pagan una cuota mensual, dejando fuera al resto de usuarios. Esta práctica se hizo evidente cuando anunciaron el cifrado de punto a punto en junio, una decisión fuertemente criticada que derivó en la promesa de habilitarlo a todos sus usuarios.
La popularidad de Zoom tras la pandemia ha ocasionado que actores maliciosos busquen vulnerar la seguridad de las llamadas. El zoombombing se convirtió en una práctica habitual, en algunos casos con resultados extremos que incluyen amenazas de bomba o insultos racistas durante videollamadas escolares.
La empresa sigue peleando con sus fallos y para corregir el rumbo contrató a Alex Stamos, ex director de seguridad de Facebook, quien se integró hace unos meses como asesor. La vulnerabilidad más reciente tiene que ver con un método para descifrar la contraseña de una videollamada en minutos. Zoom ya habría corregido este problema, aunque no es lo único con lo que tiene que lidiar el equipo de seguridad.