La aplicación Zoom de videollamadas ha sido una de las más descargadas en España desde que comenzó la cuarentena. Sin embargo, un anuncio de un fallo de seguridad ha puesto en entredicho su fiabilidad. Se han sucedido las noticias de que tanto Google como el Senado de EEUU han pedido a empleados y senadores que no la usen, y las acciones de la compañía se han desplomado en bolsa. El fallo de seguridad, reconocido por la compañía desde hace una semana y advertido por las autoridades españolas en los últimos días (INCIBE, Oficina de Seguridad del Internauta, Guardia Civil o Mossos d’Esquadra), afecta a equipos con Windows 10 y supone que el atacante pueda hacerse con el nombre de usuario y el hash de su contraseña de Windows (un código único generado automáticamente a partir de la contraseña), con el que podría hacerse con el control del equipo.
Más allá de la guerra por el mercado de las videollamadas en tiempos de confinamiento (tanto Google como Microsoft cuentan con aplicaciones competencia de Zoom), la compañía lleva desde el 2 de abril reforzando su seguridad ante la pérdida de confianza de sus usuarios. Como consecuencia de esto, han empezado a circular por whatsapp diversas informaciones de personas cuyas cuentas bancarias han sido hackeadas tras haberse instalado la aplicación. El que parece haberse compartido más es un audio de 5:17 minutos en el que una mujer nos “hace partícipes de una experiencia” en el que relaciona el robo de 19.000 euros con haberse instalado la aplicación ‘Google Zoom’ (Zoom no está vinculado a Google y esa denominación es una confusión de la autora del audio).
Verifica RTVE ha podido hablar con la autora del audio y con su pareja, que confirman el robo de 19.000 euros, aunque tras haber entrado en contacto con su entidad bancaria y realizado la pertinente denuncia ante la Guardia Civil esperan recuperar el dinero. “El domingo por la tarde nos instalamos Zoom en el ordenador y el lunes por la tarde recibimos en el móvil un mensaje con un código del banco para realizar una transferencia bancaria, cuando consulté mi cuenta se habían transferido 9.000 euros”. Después hubo otra transferencia de 10.000 euros y la solicitud de un crédito preconcedido de 50.000 euros. “Nos habían cambiado la contraseña del Wifi y bloqueado y desviado los móviles a otro número, que hemos denunciado a la Guardia Civil”, afirman. Pese a que consideran que lo más probable es que la instalación de esta aplicación sea la causa, se muestran prudentes “no somos expertos, pero creemos que ha sido por ese fallo de Zoom”.
Bulos que aprovechan las circunstancias
La Guardia Civil ha advertido que se está distibuyendo un mensaje que se atribuye a este Cuerpo de Seguridad del Estado, en el que supuestamente recomienda una serie de medidas ante el fallo de seguridad de la aplicación. Estas supuestas medidas están todas relacionadas con evitar el uso de la aplicación. Sin embargo, la propia Guardica Civil ha desmentido esa información, por lo que no desaconseja el uso de Zoom.
¿Se han producido más casos?
Desde Verifica RTVE queremos poner en contexto este caso, tanto legal como en lo relativo a ciberseguridad, ante el aumento de casos de phishing que se está produciendo durante el confinamiento.
Según este audio, “están saliendo un montón de noticias, de que es a través de esta aplicación, porque es a nivel mundial”. Sin embargo, los reportes que hay afectan sobre todo a intromisiones en las videollamadas (por lo que el contenido de las conversaciones quedaría expuesto), o interrupciones con imágenes no deseadas (clases interrumpidas por la emisión de pornografía, práctica denominada como Zoom-Bombing). Además, la compañía ha sido demandada en Estados Unidos a causa de la brecha de seguridad. Pero no se han documentado casos de phishing como el denunciado.
Los afectados resetearon de fábrica los equipos, “por recomendación de la entidad bancaria”, por lo que no es posible el peritaje del ataque para saber de dónde provino, si tiene alguna relación con la aplicación o si instalaron Zoom o alguna aplicación maliciosa que intentaba imitar a Zoom.
¿Qué dicen los expertos?
Según Rodolfo Tesone, abogado experto en Derecho Digital, “legalmente lo primero es lanzar un mensaje de conciencia social a la hora de descargarse una aplicación, porque probablemente siempre nos las descargamos del proveedor oficial, pero no siempre es así”. En caso de descargar la original, Tesone señala que “en este tipo de apps vienen todos los accesos autorizados, cuando debería ser al contrario. Es un cheque en blanco que no cumple la normativa de la UE”. Y nos recomienda que en caso de sufrir un caso de este tipo no formateemos los equipos: “para que haya trazabilidad legal, debemos pedir a los usuario que acudan a la Agencia Española de Protección de Datos”, porque de otra manera las vías legales para defenderse serán prácticamente nulas por la ausencia de pruebas.
“Han sufrido un caso de phishing, pero no necesariamente vinculado a la vulnerabilidad de Zoom” afirma Carlos Seisdedos experto en ciberseguridad de Internet Security Auditors. “Es normal que cuando dos cosas de este tipo coinciden en el espacio y el tiempo las relacionemos, pero es un ataque muy complejo” afirma este experto.
Selva Orejon,directora de Onbranging y experta en identidad digital, apunta otra posibilidad. “Desde hace años han hackeado PayPal, LinkedIN, Twitter, Instagram y seguimos usando la misma contraseña y seguimos sin tener el doble factor de verificación activado”. Según esta experta, “esto está pasando desde hace mucho tiempo. Ha afectado solo a usuarios de Microsoft, es decir de Windows, porque la mayor parte de las contraseñas que lo usan están publicadas en bases de datos en internet”.
El propio banco de la mujer que habla en el audio, el BBVA, ha publicado un tuit en el que afirma que sus informáticos descartan cualquier relacón entre los fraudes a sus clientes y la aplicación Zoom.
Por tanto, desde Verifica RTVE no podemos afirmar que el caso de phishing denunciado en el audio esté relacionado con los problemas de seguridad de Zoom y se hace prácticamente indemostrable al haber sido reseteados los equipos afectados.