En diciembre de 2019, la herramienta de videoconferencia de Zoom tenía 10 millones de participantes en reuniones diarias en promedio. En marzo de este año, esa cifra era de 200 millones. Este entusiasmo ha generado una combinación de simpatía y hostilidad en la comunidad de seguridad, así como un debate sobre lo útiles que han sido las recientes revelaciones. Entre las más polémicas, está la revelación de dos vulnerabilidades de día cero, dadas a conocer a través de Techcrunch sin notificación previa a Zoom.
Patrick Wardle, ex funcionario de la NSA y ahora empleado de Jamf, reveló las dos vulnerabilidades, que aparentemente permiten a un atacante conectarse a la webcam y al micrófono del usuario de Zoom. Wardle ha sido criticado por publicar el tema en Techcrunch en lugar de avisar a Zoom directamente.
En tal sentido, Dave Kennedy, CEO de TrustedSec, escribió: “La mayoría de los hallazgos hasta ahora se considerarían de riesgo bajo a medio. No es el fin del mundo. Revelar las vulnerabilidades a los medios de comunicación perjudica nuestra credibilidad, sensacionaliza el miedo y perjudica a los demás. La mayoría de estas situaciones ni siquiera arrojarían un resultado alto o crítico en cualquier evaluación de un investigador normal. Sin embargo, tiene implicaciones de alcance mundial para las masas que no entienden los detalles técnicos. Crea histeria cuando no se necesita”.
El conocido investigador de seguridad de Google, Tavis Ormandy, no está de acuerdo con Kennedy y aplaudió a Wardle: “Es un problema con la instalación en sí, y las instalaciones están siendo masivas aquí y ahora, no en seis meses. Ahora es el momento de asegurarse de que la gente es consciente de los riesgos, buen trabajo Patrick Wardle. Así es como se ve la verdadera divulgación responsable”.
Por su parte, el CEO de Zoom, Eric Yuan, dijo en su blog: “Nuestra plataforma fue creada principalmente para clientes empresariales; es decir, grandes instituciones que cuentan con soporte total interno de TI. Éstas van desde las mayores empresas de servicios financieros del mundo hasta los principales proveedores de telecomunicaciones, agencias gubernamentales, universidades, organizaciones sanitarias y consultorios de telemedicina. Miles de empresas de todo el mundo han realizado exhaustivas revisiones de seguridad de nuestras capas de usuario, red y centro de datos y han seleccionado con confianza a Zoom. Los nuevos casos de uso “mayoritariamente de consumidores” y el correspondiente foco de atención sobre la empresa han ayudado a descubrir problemas “imprevistos con nuestra plataforma”.
Zoom ahora establecerá una congelación de funciones, de forma efectiva e inmediata, y destinará “todos nuestros recursos de ingeniería a centrarse en nuestros mayores problemas de confianza, seguridad y privacidad”, dijo Yuan. “Esto incluirá el lanzamiento de una serie de “pruebas de intrusión de white box, mejorando su actual programa de recompensas por bugs”.
Ilustración: Fotograma, canal de Zoom en Youtube
