Los hackers siempre están buscando la manera de infectar los sistemas y, para llegar a un mayor número de personas y, por ende, tener más probabilidades de éxito, suelen buscar errores en las plataformas con más usuarios. Zoom es una de las herramientas que, debido a la pandemia , logró récords de uso, pero puede estar en peligro .
Un grupo de investigadores de seguridad descubrió que Zoom presenta una vulnerabilidad de día cero que los ciberdelincuentes podrían utilizar para lanzar ataques de ejecución remota de código, es decir, propagar malware capaz de tomar el control de los equipos.
Al respecto de este descubrimiento hay buenas y malas noticias. La parte negativa es que Zoom no ha lanzado alguna actualización para corregir el problema. La buena es que la posible entrada a los ciberdelincuentes fue encontrada por hackers blancos quienes participaron en el concurso, Pwn2Own , organizado por Zero Day Initiative (ZDI) de la firma de ciberseguridad Trend Micro.
Es decir, hasta ahora no se conoce alguna técnica a través de la cual se está explotando la vulnerabilidad, sino que profesionales de ciberseguridad compitieron para encontrar los r iesgos de seguridad de diversas plataformas y, quienes eligieron a Zoom, resultaron los ganadores.
Los participantes de este concurso se dan a la tarea de tratar de infectar software y servicios populares. En la edición 2021, los ganadores, de la empresa Computest, con sede en Holanda, ganaron 200 mil dólares por demostrar que es posible lanzar una serie de ataques , que producen tres errores en Zoom, todo sin que el usuario lo provoque de ninguna manera. También resaltaron que lograron encontrar la falla en las versiones tanto de Windows como de Mac .
Cabe señalar que, después de que las vulnerabilidades se explotan y divulgan en Pwn2Own, los proveedores de software y hardware tienen 90 días para publicar las c orrecciones de seguridad para todas las fallas, por ello es tan importante que, en cuanto llegue la próxima actualización de Zoom la descargues.
Más peligro
Unos 23 equipos participaron en el concurso de seguridad organizado por Zero Day Initiative ZDI y también han conseguido infiltrarse en otros sistemas.
Durante la competencia también destacaron que Windows 10 y Chrome fueron vulnerados por los expertos en ciberseguridad. Con respecto al sistema operativo de Microsoft , los competidores lograron fácilmente introducir un malware al sistema, con la posibilidad de controlarlo. Los errores por los cuales los hackers fueron reconocidos fueron: una cadena de dos errores en Microsoft Teams que condujo a la ejecución del código; y el segundo por una omisión de autenticación y escalada de privilegios para tomar el control de Microsoft Exchange .
A su vez, la falla de Chrome consistió en hackear la seguridad del navegador de internet de Google. Se trata de un error tipo Type Mismatch, el cual, por ser descubierto, ha hecho ganar a los hackers 100 mil dólares.
Por cierto que la edición 2021 de Pwn2Own contó con la primera participante femenina en solitario de la competencia, Alisa Esage Shevchenko, una muestra de que las mujeres cada vez están más presentes en la industria de tecnología .