El pasado 13 de abril publicamos un post titulado “Éxito y caída de Zoom”, donde explicábamos como esta exitosa plataforma de videoconferencias había caído en desgracia por vulnerabilidades en sus sistemas. En el post relacionábamos cronológicamente lo sucedido.

Pero ahora ha llegado un nuevo ataque, que por sus características y situación geográfica (ha ocurrido en Cataluña) nos ha llevado a volver a hablar de Zoom.

Hace unos días, durante la presentación de un software de gestión para el mundo de los animales de compañía, aparecieron unas imágenes de pornografía infantil sumamente desagradables. Fue tras 55 minutos de una conferencia en la que habían 93 usuarios conectados.

Los informáticos responsables de la organización de la conferencia intentaron por tres veces eliminar las imágenes sin éxito, hasta que cancelaron la videoconferencia. Pero tardaron un minuto largo en hacerlo, durante el cual todos los usuarios pudieron ver la pornografía.

Kiriakos Stavrou, un chipriota que lleva 11 años afincado en España es el máximo responsable de la empresa organizadora. Explicó que en el contrato con Zoom, en los párrafos 3B y 4 prácticamente informan que Zoom no se encarga de nada, que sólo es un mediador, pero es sabido que la ley está por encima de cualquier contrato privado. Stavraou ha denunciado el tema a a los Mossos (policía autonómica catalana).

No es la primera vez que Zoom es atacado con pornografía, ni tampoco ha sido la primera denuncia presentada a los Mossos sobre este tipo de prácticas, pero la dureza de las imágenes en esta ocasión ha motivado que el tema se tratara en el informativo de máxima audiencia de TV3.

Se conoce con el nombre de “zoombombing” la práctica de secuestrar videollamadas de grupo. No es una situación nueva, pero el confinamiento ha ayudado a extenderla. Y se puede realizar fácilmente, ya que estas plataformas ofrecen la opción de uso compartido de la pantalla, para que se pueda mostrar a todos los participantes documentos, presentaciones, etc. Zomm permite este uso compartido de la pantalla, de modo que cualquier participante en la reunión lo puede hacer sin necesitar permiso previo del organizador. Ahí es donde falla la plataforma, junto a otros fallos que ya explicamos en el post anterior a este y que podéis volver a leer AQUÍ.

Seguramente será difícil encontrar al delincuente, porque este tipo de ataques suele hacerse con robots, lo que dificulta la localización del individuo y a medida que pasa el tiempo más difícil es. Si a esto añadimos que el programador del robot puede encontrarse en cualquier lugar del mundo, comprenderemos la complejidad del tema.

El debate que hace tiempo existe es saber si Zoom puede ser también responsable o se considera un simple mediador. Pero una cosa está clara: no ha conseguido solucionar sus problemas de vulnerabilidad.

Lo que debemos sacar de este ejemplo tan desagradable y cercano es pensar que si una plataforma como Zoom puede ser objeto de este tipo de ataques, ¿qué no será posible que nos hagan en nuestros sistemas?Por suerte, TECNOideas ofrece muchos servicios y formación para que los riesgos de sufrir ataques sean mínimos.