Zoom tardó meses en reparar una vulnerabilidad con la que los hackers podían tomar por completo el control de tu ordenador, a pesar de los avisos de expertos y clientes

Zoom CEO Eric Yuan.
Zoom CEO Eric Yuan.AP Photo/Mark Lennihan
  • El año pasado Zoom tardó 3 meses en arreglar una vulnerabilidad que permitía a los ciberdelincuentes tomar el control sobre ciertos dispositivos con macOS, según un artículo de The New York Times.
  • Zoom reparó y registró el problema en julio, y en aquel momento el propio CEO de la compañía, Eric Yuan, reconoció que la firma no había hecho suficiente.
  • La vulnerabilidad fue descubierta por investigadores de ciberseguridad que participaron en un hackaton patrocinado por Dropbox el año pasado.
  • La actual popularidad de Zoom ha multiplicado los problemas en seguridad y privacidad de la plataforma, y la compañía se ha comprometido a arreglarlos en los próximos 90 días.
  • Esta nueva información muestra cómo algunas empresas y clientes ya tenían reservas sobre Zoom mucho antes de sus problemas de ciberseguridad.
  • El CEO, Eric Yuan, reconoció en una reciente entrevista con Business Insider que los clientes todavía confían en el producto. "Las compañías han trabajado con nosotros desde hace mucho, confían en nosotros, y nosotros mantenemos todo abierto y transparente".
  • Zoom dijo en un comunicado que han redoblado sus esfuerzos en seguridad en un plan de 3 meses. "Apreciamos la ayuda de socios e investigadores que han ayudado y continúan haciéndolo a la hora de identificar los problemas para fortificar más nuestra plataforma".
  • Descubre más historias en Business Insider España.

Zoom tardó el año pasado hasta 3 meses en arreglar una grave vulnerabilidad que permitía a ciberdelincuentes tomar por completo el control sobre determinados dispositivos que funcionaban con macOS, el sistema operativo de Apple. Es lo que contaba un artículo de The New York Times este lunes.

El fallo, que Zoom reparó y registró en julio de 2019, lo detectaron varios investigadores de ciberseguridad que participaron en un hackaton organizado por Dropbox. Dropbox es cliente y socio de Zoom y presentó los resultados del hackaton a la compañía de videollamadas. Zoom, sin embargo, solo las reparó cuando otros investigadores también detectaron la vulnerabilidad.

A principios de 2019 Dropbox patrocinó una competición de hacking en directo, HackerOne Singapur. Dos trabajadores de Assetnote, una firma de ciberseguridad australiana, asistieron al evento y detectaron la vulnerabilidad. Con ella, cualquier ciberatacante podría tomar el control de algunos ordenadores con macOS. Sin embargo, Zoom no comenzó a trabajar en la vulnerabilidad hasta que otro investigador independiente en ciberseguridad encontró otro problema que provocaba el mismo efecto.

Zoom reparó el fallo en julio de 2019, y el CEO de la compañía, Eric Yuan, reconoció que la firma no había hecho lo suficiente. "No juzgamos bien la situación y no respondimos lo suficientemente rápidos. Culpa nuestra. Asumimos la responsabilidad y aprendemos de nuestros errores", escribió entonces Yuan en su blog.

Leer más: 500.000 cuentas de Zoom se han visto comprometidas y sus contraseñas se están vendiendo ahora mismo en internet

El ingeniero y ejecutivo de Assetnote que descubrió la vulnerabilidad detalló su funcionamientoen otro artículo que publicó después de que Zoom arreglase el problema.

Los problemas de ciberseguridad de Zoom se multiplican

Un estudiante toma una clase en Zoom en medio de la crisis del coronavirus.

Este fue solo uno de los problemas de seguridad y privacidad a los que Zoom se enfrentó antes de su situación actual, en la que estos problemas se les han multiplicado. El The New York Times también detalla otros problemas de ciberseguridad que fueron denunciados a Zoom, y que la compañía solo arregló después.

De hecho, Zoom ya ha advertido que los actuales problemas de la plataforma devienen de que la herramienta de videollamadas estaba pensada para usuarios de negocios de compañías que tenían sus propios departamentos de tecnología. Su nueva base de usuarios incluye estudiantes y profesores, que no tienen ese tipo de soporte, lo que abre la puerta a los incidentes de Zoombombing.

Esto, sumado al hecho de que la comunidad de Zoom se ha multiplicado de los 10 millones de usuarios en diciembre a 200 millones a finales de marzo, ha creado una situación que la compañía no pudo anticipar.

Yuan ha insistido en que los clientes corporativos de la plataforma todavía confían en el producto. En una reciente entrevista con Business Insider, el CEO advertía que las "empresas clientes de Zoom siguen trabajando con la plataforma desde hace mucho". "Confían en nosotros, y nosotros seguimos manteniendo todo abierto y transparente".

Leer más: Los hackers están vendiendo las vulnerabilidades de Zoom en Windows y Mac hasta por 500.000 dólares porque son "perfectas para el espionaje industrial", según expertos

Aunque esto pueda ser cierto, el New York Times incide en que algunos de estos clientes de Zoom ya mostraron sus reservas sobre la ciberseguridad de la compañía. El artículo revela un patrón por el cual Zoom no priorizó algunas vulnerabilidades sobre seguridad y privacidad, incluso cuando estas eran trasladadas por parte de socios estratégicos como Dropbox.

Dropbox intentó que Zoom mejorase su seguridad

Dropbox fue insistente a la hora de intentar de que Zoom mejorara sus herramientas de seguridad. En 2018, Dropbox tenía su propio programa de hackers cazadores de recompensas. Muchas compañías tienen estos programas de bug bounty por los cuales se detectan vulnerabilidades de sus propias herramientas pidiéndole a los hackers que intenten atacarlas.

En un comunicado, Dropbox explicaba a Business Insider que en 2018 ya dirigieron un programa "para incluir a socios estratégicos en nuestro programa de bug bounty, a través del cual se paga a los investigadores en ciberseguridad que encuentren brechas en las herramientas de nuestros aliados".

La compañía de archivos compartidos añadía que trasladaron su agradecimiento a Zoom por haber sido "los primeros en probar este programa", e insistía en que en Dropbox usan Zoom para trabajar "todos los días". La herramienta de videollamadas se ha vuelto imprescindible para Dropbox "en estos tiempos sin precedentes" para mantener a sus equipos conectados.

Zoom insiste en que se toman la seguridad de sus usuarios muy en serio

Por su parte, Zoom mantiene que está dando pasos para mejorar la privacidad y la seguridad de la plataforma. Todo ello, después de las numerosas críticas, que se han multiplicado en las recientes semanas, después de que la app se haya popularizado aún más.

Zoom ha parado el desarrollo de nuevas herramientas y ha compartido un plan trimestral para mejorar la seguridad. Como parte de ese plan, ha contratado a expertos en ciberseguridad com Alex Stamos, el exjefe de Seguridad de Facebook. También ha reactivado su programa de cazadores de recompensas para que hackers encuentren más vulnerabilidades en su código.

"Zoom se toma muy en serio la privacidad, seguridad y confianza de sus usuarios. Agradecemos a los investigadores y a los socios de la industria que han ayudado —y lo siguen haciendo— identificando problemas, mientras seguimos tratando de mejorar la fortaleza de la plataforma. Como parte del plan trimestral anunciado el 1 de abril, estamos redoblando esfuerzos para mejorar la seguridad, y trabajamos proactivamente para identificar, detectar y reparar problemas", ha asegurado la firma en un comunicado.

Conoce cómo trabajamos en Business Insider.