Fallo en la seguridad de Zoom: colegios e iglesias afectados por el 'Zoom-bombing'
Zoom se ha convertido en una de las empresas más populares por la pandemia de Coronavirus. La herramienta de videoconferencia se ha popularizado por su calidad de transmisión y por la facilidad que ofrece para iniciar una nueva conversación, ya sea individual o grupal: solo hay que compartir un enlace.
Precisamente esta facilidad encierra una vulnerabilidad del sistema. Las URLs para entrar en una charla tienen la siguiente estructura:
zoom[punto]us[barra]j[barra]número.
Cualquier persona o sistema automatizado puede empezar a probar combinaciones para dar con salas de reuniones que, en principio, deberían ser privadas. A veces, ni siquiera es esto necesario: una simple búsqueda en Twitter nos da una relación de conversaciones que están siendo celebradas en estos momentos a través de Zoom. Una vez dentro de una videoconferencia ajena, el intruso puede empezar a reproducir en su ventana lo que quiera. Y sí, los atacantes aprovechan para proferir insultos racistas o emitir imágenes pornográficas.
Esto le ocurrió a Jordan Scott, un estudiante de instituto en Conejo Valley (California) que relató su experiencia a LA Times. Todo ocurrió poco después de entrar a una sala virtual con sus compañeros. Primero comenzaron a escuchar como alguien decía "la palabra que empieza por N" (en referencia a 'Nigga' o 'Negrata' en inglés, un grave insulto racista)" y después se sucedieron escenas pornográficas.
Hay decenas de casos reportados de gran envergadura y ya se discute la conveniencia de utilizar Zoom en el ámbito educativo.
Zoom se ha apresurado a pedir que los usuarios reporten estos casos a través de esta dirección, e incluso ha escrito un post en su plataforma indicando las medidas que se deben seguir para evitar estas intrusiones. Al mismo tiempo, en la red se recuerda que todo aquel que tenga un enlace para un evento público puede entrar si no se toman medidas.
Lo fundamental para evitar esto es utilizar opciones como la 'Waiting Room' (Sala de Espera) que ofrece Zoom y tener claro qué recursos estamos compartiendo en la videoconferencia: pantalla compartida, webcam, micrófono, etcétera.
En un interesante hilo de Twitter, el usuario @DHH (creador del lenguaje de programación Ruby on Rails, entre otras hazañas) detalla los innumerables casos de intrusiones que se están produciendo estos días:
No wonder Zoom bombing is happening. All you need to join a meeting is a URL made up of a single ten-digit number. It's like Zoom has turned all the world's conferences into chat roulette! Just iterate through the digits until you hit a room.
— DHH (@dhh) March 31, 2020
David Heinemeier critica con ironía lo que está sucediendo: "No es una sorpresa que esté ocurriendo el Zoom-bombing. Todo lo que se necesita para acceder a una sala de reuniones es una URL compuesta de 10 dígitos. Es como si Zoom hubiera convertido todas las salas de conferencias en Chat Roulette! Solo tienes que iterar a través de los dígitos hasta entrar en una sala".