Cómo Zoom se volvió la plataforma elegida para ataques virtuales

La plataforma Zoom se ha convertido en una de las más populares durante las últimas semanas para realizar videoconferencias grupales, a raíz de la cuarentena que se vive en distintos países del mundo por la pandemia del coronavirus COVID-19. Sin embargo, la popularidad de la aplicación también llamó la atención de los agresores que por estos días han realizado ataques virtuales a algunos usuarios, quienes han visto violentadas sus videollamadas por desconocidos.

Uno de esos casos se registró el pasado lunes en la Universidad Católica de Valparaíso, cuando un estudiantes del Instituto de Física sufrió una ciberataque en medio de la presentación de su tesis.

De acuerdo a lo informado por la universidad, un usuario desconocido reprodujo imágenes de pornografía infantil en la videoconferencia, por lo que se denunció el hecho ante la Brigada del Cibercrimen de la Policía de Investigaciones (PDI).

Al igual que en Chile, estos ataques denominados como “Zoom bombing” también han ocurrido en otros países. Incluso uno de los casos que llamó la atención fue uno ocurrido en Massachusetts, Estados Unidos, donde un grupo de personas sin identificar ingresaron e insultaron a los asistentes a dos clases virtuales.

Asimismo, se han descubierto otras fallas de la aplicación, que incluso motivaron una actualización en la versión para iOS, ya que se permitía el envío de los datos de los usuarios del dispositivo con el que se realizaba la videollamada a Facebook, aun incluso sin tener cuenta en la red social. Zoom luego tuvo que reescribir partes de su política de privacidad tras este incidente.

Mientras que en Windows se informó que Zoom permitía el robo de las credenciales de acceso de los usuarios que hacen clic en un enlace para unirse a una reunión. Esto a raíz de que en dicho sistema operativo, Zoom es más vulnerable en la función de chat.

“Disturbios virtuales”

El ex subsecretario de Telecomunicaciones, Pedro Huichalaf, explicó a EL DÍNAMO que “por un tema de lenguaje” no calificaría a estos ataques a través de Zoom como hackeos, “porque éste se produce cuando una persona ingresa sin autorización a algún sistema; cuando se vulneran las medidas de seguridad. En cambio en este fenómeno las personas ingresan a salas virtuales que generalmente son abiertas, y provocan ‘disturbios virtuales'”.

“El caso de la Universidad Católica de Valparaíso es un poco diferente, o sea la conducta fue la misma, la diferencia es que la persona que interrumpió puso una imagen de pornografía infantil, y eso es un delito en sí, independiente de interrumpir virtualmente“, agregó Huichalaf respecto a este ataque a través de Zoom.

“Eso sucedió, según lo que tengo entendido, porque la persona que hizo la defensa de tesis compartió el link públicamente, o en un grupo de personas, entonces no había restricciones de acceso. Eso fue el causante del problema”, agrega.

En ese contexto, el ex subsecretario de Telecomunicaciones contó que el pasado 20 de abril él mismo vivió un ataque similiar en medio de una charla organizada por la Universidad de Chile a través de Zoom “de una temática indígena, aunque la gente que ingresó no estaba contra la temática, sino que fue un grupo de personas -que a mi entender- eran extranjeros, porque hablaban en inglés”.

“Hay grupos donde se organiza la gente sólo para molestar y descubren charlas en línea porque están en alguna publicación que se había popularizado, no había restricciones de acceso más que el link (…) lo primero que me llamó la atención de la sala es que habían alrededor de 80 personas mientras se hacía la conferencia”, relató.

“Era un número alto para una temática que a veces es de menos personas, pero bueno. Llamaba la atención que había tanta gente y de un momento a otro empezaron a usar algunas funciones que tiene Zoom que se pueden habilitar o deshabilitar, pero estaban todos habilitados. Ahí está el problema”, agregó respecto al ataque.

De acuerdo a lo contado por la ex autoridad, los sujetos utilizaron la herramienta para compartir pantalla y comenzaron a poner imágenes, además de una función llamada anotaciones, con la que puedes escribir sobre la pantalla compartida.

Los intrusos también hicieron ruidos y ponían canciones, todo de forma simultánea, lo que motivó que “el administrador de la sala no pudo contener a tantas personas, así que decidieron cerrar la sala”. “Igual ya estaba terminando”, comenta entre risas la ex autoridad de Telecomunicaciones.

Finalmente, Huichalaf destaca que esta situación en particular no tenía que ver con algo en contra del tema indígena, y que se debía principalmente a este fenómeno del uso masivo de nuevas plataformas de internet.

Protección anti intrusos

Estas situaciones que son cada vez más comunes motivaron que se comenzaran a entregar recomendaciones para proteger las videoconferencias de estos ataques a través de Zoom.

El subprefecto Luis Orellana Campos, jefe de la Brigada Investigadora del Cibercrimen de Santiago, entregó una serie de consejos para evitar que las personas sufran este tipo de hechos:

• Descargar la aplicación siempre desde sitios oficiales, nunca descargar desde los enlaces que vienen a través de correos o páginas no oficiales.
• Mantener siempre actualizadas las aplicaciones, ya que las empresas cada vez que lanzan una actualización incrementan los niveles de seguridad.
• Preferir siempre la opción de reunión privada, donde se solicite la contraseña a las personas que vayan a participar en ella.
• Crear usuarios y contraseñas específicas para estas plataformas, y nunca iniciar sesión desde alguna red social, como es el caso de Facebook.
• No compartir enlaces de videoconferencias a través de las redes sociales, sino que hacerlo en privado con las personas que participarán.
• Cuando ya estén todos los participantes en la llamada, el administrador puede cerrar la reunión, con el objetivo de que no ingrese otro participantes.
• Ser cuidadosos en el ámbito personal, laboral y académico en el uso de plataformas y en la información que se comparte en las redes sociales, ya que los sistemas informáticos pueden ser vulnerados y permitir que se filtren datos, que posteriormente son utilizados para distintos delitos.

Finalmente, Orellana llamó a las personas que sean víctimas de estas situaciones a que se pongan en contacto con la PDI para iniciar las investigaciones correspondientes.

Por su parte, el ex subsecretario de Telecomunicaciones también entregó recomendaciones, por medio de su cuenta de Twitter, para utilizar Zoom de forma segura y evitar estos ataques virtuales.

1.- Evitar utilizar tu ID personal para convocar a la reunión.
Es más seguro utilizar una ID generada automáticamente por reunión.

2.- Colocar una contraseña a la sala.

Si la reunión es con invitados específicos, no compartir link de conexión ni contraseña en forma pública pic.twitter.com/kcep4vKtCr

— Pedro Huichalaf Roa (@huichalaf) April 20, 2020