No dejes que los enlaces de Zoom zombis te arrastren

-

Muchas organizaciones, incluyendo varias empresas Fortune 500, han expuesto enlaces web que permiten a cualquier persona iniciar una reunión de videoconferencia en Zoom como un empleado válido. Estos enlaces específicos de la empresa en Zoom, que incluyen un número de identificación de usuario permanente y un código de acceso incorporado, pueden funcionar indefinidamente y exponer a los empleados, clientes o socios de una organización a ataques de phishing y otros ataques de ingeniería social.

El problema radica en la Identificación de Reunión Personal de Zoom (PMI), que es un número de identificación permanente vinculado a tu cuenta de Zoom y sirve como tu sala de reuniones personal disponible las 24 horas del día. La porción PMI forma parte de cada nueva URL de reunión creada por esa cuenta, como:

zoom.us/j/5551112222

Zoom tiene la opción de incluir un código de acceso cifrado dentro de un enlace de invitación a la reunión, lo que simplifica el proceso para los asistentes al eliminar la necesidad de ingresar manualmente el código de acceso. Siguiendo el ejemplo anterior, un enlace de este tipo podría verse así:

zoom.us/j/5551112222/pwd=jdjsklskldklsdksdklsdkll

Usar tu PMI para configurar nuevas reuniones es conveniente, pero, por supuesto, la conveniencia a menudo viene a expensas de la seguridad. Debido a que el PMI permanece igual para todas las reuniones, cualquiera con tu enlace PMI puede unirse a cualquier reunión en curso a menos que hayas bloqueado la reunión o activado la función de Sala de Espera de Zoom.

Incluir un código de acceso cifrado en el enlace de Zoom definitivamente facilita que los asistentes se unan, pero puede abrir tus reuniones a intrusos no deseados si no se maneja de manera responsable. Especialmente si ese enlace de Zoom está indexado de alguna manera por Google u otro motor de búsqueda, lo cual es el caso de miles de organizaciones.

Armado con uno de estos enlaces, un atacante puede crear reuniones e invitar a otros utilizando la identidad del empleado autorizado. Y muchas empresas que utilizan Zoom han facilitado la búsqueda de enlaces de reuniones recién creados que incluyen códigos de acceso cifrados, porque tienen subdominios dedicados en Zoom.us.

Utilizando el mismo método, KrebsOnSecurity también encontró enlaces de reuniones de Zoom funcionales para la Liga Nacional de Fútbol (NFL), LinkedIn, Oracle, Humana, Disney, Warner Bros y Uber. Y eso fue en solo unos minutos de búsqueda. Y para ilustrar la persistencia de algunos de estos enlaces de Zoom, Archive.org dice que varios de los enlaces se crearon por primera vez en 2020 y 2021.

KrebsOnSecurity recibió una pista sobre las exposiciones de Zoom de Charan Akiri, un investigador e ingeniero de seguridad en Reddit. En abril de 2023, este sitio presentó investigaciones de Akiri que mostraban que muchos sitios web públicos de Salesforce estaban filtrando datos privados, incluyendo bancos y organizaciones de atención médica (Akiri dijo que Salesforce también tenía estos enlaces de reuniones de Zoom abiertos antes de notificarles).

Los enlaces de Zoom que exponían salas de reuniones funcionales tenían habilitada la opción destacada.

Akiri dijo que el mal uso de los enlaces PMI, especialmente aquellos con códigos de acceso incorporados, puede dar acceso a individuos no autorizados a las reuniones.

"Estos enlaces de un clic, que no están sujetos a vencimiento o requerimiento de contraseña, pueden ser explotados por atacantes para suplantación", dijo Akiri. "Los atacantes que explotan estas vulnerabilidades pueden suplantar a las empresas, iniciar reuniones sin que los usuarios lo sepan. Pueden contactar a otros empleados o clientes haciéndose pasar por la empresa, obteniendo acceso no autorizado a información confidencial, potencialmente con fines de lucro, contratación o campañas publicitarias fraudulentas".

Akiri dijo que construyó un programa simple para rastrear la web en busca de enlaces de reuniones de Zoom funcionales de diferentes organizaciones, y hasta ahora ha identificado miles de organizaciones con estos enlaces zombis perfectamente funcionales.

Según Akiri, aquí tienes algunos consejos para utilizar los enlaces de Zoom de manera más segura:

No uses tu Identificación de Reunión Personal para reuniones públicas: tu Identificación de Reunión Personal (PMI) es la reunión predeterminada que se inicia cuando comienzas una reunión improvisada. Tu PMI no cambia a menos que lo cambies tú mismo, lo que lo hace muy útil si las personas necesitan una forma de comunicarse contigo. Pero para reuniones públicas, siempre debes programar nuevas reuniones con identificadores de reunión generados aleatoriamente. De esa manera, solo los asistentes invitados sabrán cómo unirse a tu reunión. También puedes desactivar tu PMI al comenzar una reunión instantánea en la configuración de tu perfil.

Requiere un código de acceso para unirse: puedes mejorar aún más la seguridad de la reunión requiriendo un código de acceso para unirse a tus reuniones. Esta función se puede aplicar tanto a tu Identificación de Reunión Personal, de modo que solo aquellos con el código de acceso podrán comunicarse contigo, como a las reuniones programadas recientemente. Para obtener más información sobre cómo agregar un código de acceso a tus reuniones, consulta este artículo de soporte.

Solo permite usuarios registrados o verificados por dominio: Zoom también puede darte tranquilidad al permitirte saber exactamente quién asistirá a tu reunión. Al programar una reunión, puedes requerir que los asistentes se registren con su correo electrónico, nombre y preguntas personalizadas. Incluso puedes personalizar la página de registro con un banner y un logotipo. Por defecto, Zoom también restringe a los participantes a aquellos que están conectados a Zoom, e incluso puedes limitarlo a usuarios de Zoom cuya dirección de correo electrónico utilice un cierto dominio.


Actualización 12:33 p.m.: La lista de organizaciones afectadas se actualizó, porque varias empresas enumeradas aparentemente solo expusieron enlaces que permitían a cualquiera conectarse a salas de reuniones siempre activas, no iniciar y controlar completamente una reunión de Zoom. El verdadero peligro con los enlaces zombis descritos anteriormente es que cualquiera puede encontrarlos y usarlos para crear nuevas reuniones e invitar a otros.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más