la información que buscás.
sábado, 31 de octubre 14ºC Buenos Aires
Max: 15ºC | Min: 12ºC
TENDENCIAS

Un error de Zoom dejaba al descubierto las contraseñas de los usuarios

31 de julio de 2020

No sería la primera vez que se registran fallas en las comunicaciones.

La plataforma se convirtió en una de las más utilizadas para realizar videollamadas durante estos meses de cuarentena. Sin embargo, la seguridad que nos brinda a la hora de resguardar nuestras identidades puede llegar a ser un problema. Recientemente, volvió a registrar una falla de seguridad que permite a extraños entrar a reuniones privadas, en cuestión de minutos. En abril ya se había ocasionado el mismo desliz, y para evitarlo, Zoom compró una firma de encriptación. También redobló la apuesta y obligó a todos los usuarios a proteger con contraseña sus videollamadas, luego del lanzamiento de una nueva versión.

El problema parecía resuelto, pero de acuerdo al descubrimiento realizado por Tom Anthony, un analista de seguridad, no sería suficiente. Según señala el investigador, al intentar acceder a una videollamada privada mantenida en el seno del Gobierno del Reino Unido, descubrió que la plataforma no tiene un límite de intentos fallidos al introducir una clave reiteradamente.

De esta manera, intentando una y otra vez, finalmente se logra acceder, sobre todo si se programa algún script para que pruebe contraseñas indefinidamente.

Leé también Zoom lanza una tablet de 27 pulgadas

Aunque todos los usuarios de la plataforma de videollamadas están obligados a cifrar sus reuniones, parece que el problema se encuentra en que la contraseña predeterminada que asigna Zoom se compone de seis dígitos y no es difícil de adivinar ya que las posibles combinaciones de números dan un número máximo de un millón de posibilidades.

Para usuarios normales, intentar descifrar una contraseña de seis dígitos entre un universo de un millón puede ser imposible. Pero para hackers que descubren contraseñas más complicadas gracias al desarrollo de programas informáticos, dar con ella puede ser cuestión de minutos.

En este caso, al tener una cantidad máxima de opciones, utilizando sus conocimientos técnicos y un equipo informático, Tom Anthony accedió a la sala tras ver un pantallazo publicado por el primer ministro del Reino Unido, Boris Johnson, donde se veía el ID de la reunión.

Una vez obtenido ese dato, Anthony utilizó un script en Python (código que soporta numerosos lenguajes de programación) y que ejecutó desde su computadora personal. En tan solo 30 minutos, obtuvo la contraseña para poder ingresar a esta reunión del gobierno del Reino Unido. Según la experiencia, si la búsqueda de la contraseña se realiza con cuatro o cinco servidores de manera simultánea y conectados en la nube, este tiempo de 30 minutos se podría reducir a 5 minutos o menos.

Leé también El Zoombombing es un delito que podría resultar en encarcelamiento

El analista contactó a Zoom para denunciar el fallo de seguridad y la empresa, propiedad Eric Yuan, procedió a desconectar el cliente web mientras resolvía la situación. Luego invitó al investigador a que se apuntase al programa de recompensas de la compañía, por el que paga a los usuarios que alertan de fallos dentro de la plataforma. A pesar de ello, el analista reconoció que nunca envió el error a través de este programa, por lo que su recompensa económica jamás llegó.

(con información de trecebits.com / foto: eluniverso.com)

ÚLTIMAS NOTICIAS