En marzo de 2020, Zoom alcanzó los 200 millones de usuarios en un solo día
Nuevo tipo de hijacking: “Zoom-bombing”
La Cámara de Representantes de los Estados Unidos fue la víctima más reciente de un ciberataque de «Zoom-bombing«. La reunión fue interrumpida al menos en tres ocasiones por asistentes no invitados, como se informó recientemente en una carta interna dirigida a Carolyn Maloney (Presidenta republicana de Nueva York), presidenta del Comité de Supervisión y Reforma, que es el principal comité de investigación de la Cámara de Representantes de los Estados Unidos.
¿Qué puedo hacer para prevenir “Zoom-bombing”?
Los usuarios ya pueden prevenir el problema del «Zoom bombing» haciendo los siguientes ajustes en sus configuraciones de Zoom:
• Asegurarse de que la reunión se hace con cifrado*
• Crear salas de espera para los asistentes
• Requerir que el anfitrión esté presente antes de que comience la reunión
• Usar firmas de audio
• Habilitar/inhabilitar a un participante o a todos los participantes para grabar
• Pausa temporal para compartir la pantalla cuando se abre una nueva ventana
• Proteger la reunión con una contraseña
* El cifrado del chat de Zoom utiliza algoritmos asimétricos y simétricos para cifrar la sesión de chat. Las claves de la sesión se generan con una identificación de hardware única del dispositivo para evitar que se lean los datos de otros dispositivos.
Imagen: configuración del cifrado del chat en las conferencias de Zoom
Imagen: anfitrión en las conferencias de Zoom
Conclusión:
Todas estas medidas te ayudarán a prevenir posibles ciberataques de «Zoom bombing». Sin embargo, hay que prestar especial atención a la comunicación por correo electrónico, ya que es el vector más atacado por los hackers lo que ha quedado demostrado una vez más por los correos electrónicos de phishing para obtener credenciales de Zoom.
Una solución es el servicio de Advanced Threat Protection de Hornetsecurity, que protege tu cuenta de correo electrónico no sólo de este tipo de ciberataques de phishing, sino que también utiliza innovadores mecanismos de detección usando la última tecnología de: freezing, escaneo de URL, reescritura y sandboxing para mantener a los hackers alejados de tus credenciales de Zoom y de otros datos sensibles.
No podemos permitir que los ciberdelincuentes se aprovechen de la actual crisis del coronavirus COVID19 – ya sea a través de Zoom o de cualquier otro servicio de videoconferencia – que ahora, se ha convertido en una necesidad vital para comunicarnos con nuestros compañeros de trabajo, familiares y amigos.
Fuentes
- FBI: https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic (publicado el 30 de marzo 2020)
- INCIBE: (National Spanish Institite of Cybersecurity): https://www.incibe.es/protege-tu-empresa/avisos-seguridad/vulnerabilidad-descubierta-el-sistema-videoconferencia-zoom (publicado 6 de abril 2020)
- FORTUNE: https://fortune.com/2020/04/02/zoom-bombing-what-is-meeting-hacked-how-to-prevent-vulnerability-is-zoom-safe-video-chats/ (publicado el 4 de abril de 2020)
- ZOOM: https://zoom.us/security
- BLOOMBERG: https://www.bloomberg.com/news/articles/2020-04-02/zoom-grapples-with-security-flaws-that-sour-some-users-on-app (publicado el 2 de abril 2020)
- BLOOMBERG: https://www.bloomberg.com/news/articles/2020-04-01/hackers-without-conscience-demand-ransom-from-health-providers (publicado el 1 de abril 2020)
- TECHCRUNCH: https://techcrunch.com/2020/04/01/zoom-doom/ (publicado el 1 de abril 2020)
- THREATPOST: https://threatpost.com/zoom-bombing-attack-hits-u-s-government-meeting/154903/ (publicado el 17 de abril 2020)
- LETTER OF USA COMMITTEE: https://www.documentcloud.org/documents/6839151-Letter-to-Chairwoman-Maloney-Re-Committee-Use-of.html (publicado 10 de abril 2020)
- BLEEPING COMPUTER: https://www.bleepingcomputer.com/news/security/phishing-uses-lay-off-zoom-meeting-alerts-to-steal-credentials/ (publicado el 24 de abril de 2020)
- FORBES: https://www.forbes.com/sites/leemathews/2020/04/28/new-phishing-attacks-prey-on-job-loss-fears-with-fake-zoom-meeting-invites/#6f1a33c94602 (publicado el 28 de abril de 2020)