Como muchos profesores, Karen Wilson (no es su nombre real) estaba enseñando una clase universitaria en línea por primera vez a fines de marzo, ya que el brote de COVID-19 había dejado de lado las clases presenciales. Ella estaba usando la plataforma de videoconferencia Zoom para su presentación.
"Diez minutos después de mi conferencia, comencé a escuchar risas y risitas. Luego, una voz llega al aula preguntando: '¿Qué clase es esta?'", Dice por correo electrónico. Cuando Wilson preguntó qué estaba pasando, "un par de chicas respondieron al unísono que se suponía que debían estar en una clase en línea de la escuela secundaria y estaban confundidas. Hicieron algunas preguntas y se fueron rápidamente".
Pero las cosas recién estaban comenzando.
"Un rato después, otra persona anónima, esta vez un hombre, comenzó a comentar sobre fumar marihuana y el tipo de marihuana que había encontrado la semana pasada. Solo se escuchó el audio y no se lo vio. Le pedí que se identificara . Cuando no quiso, le pedí que se fuera, lo cual, afortunadamente, lo hizo de inmediato ".
Ella dice que debido a que era nueva en Zoom, la experiencia fue confusa y desorientadora.
"No estaba segura de dónde venía el audio y pensé que podría ser el ruido de fondo de uno de mis estudiantes", dice. "Si hubiera estado más familiarizado con Zoom, habría silenciado inmediatamente el audio de todos, pero era un novato que lo usaba en línea. Nunca había considerado que otras personas pudieran obtener el número de Zoom y 'entrar' en un aula".
Wilson acababa de ser bombardeado con Zoom. El bombardeo de zoom es una abreviatura de cuando extraños se entrometen en las reuniones de otros en Zoom . A veces, estas personas pueden simplemente escuchar sin que nadie sepa que están allí. Otras veces, interrumpen totalmente las reuniones de manera tonta o incluso amenazadora.
Al final, Wilson tuvo suerte. Otras víctimas del atentado de Zoom han sido objeto de discursos de odio, blasfemias, amenazas e imágenes pornográficas.
Pero, ¿cómo podría alguien simplemente "entrar" en una reunión privada?
"Zoom bombing no es más que enumerar diferentes combinaciones de URL en el navegador", dice Dan Desko, un experto en ciberseguridad de la firma de contabilidad Schneider Downs, en Columbus, Ohio.
Él da un ejemplo: para encontrar una reunión de Zoom, ingrese la URL Zoom.us/ más una cadena de números, que sirve como el número de identificación de la reunión (por ejemplo, https://zoom.us/j/55555523222).
"El problema se vuelve cuando las personas no tienen sus reuniones protegidas por contraseñas, y con solo cambiar un par de números", podría tener suerte y entrar repentinamente a la reunión de otra persona, dice. "Ahora, obviamente, tendrías que hacer eso en el momento adecuado [cuando] se lleve a cabo la reunión", agrega.
Solo para probar el defecto, lo intentó él mismo. En solo un minuto más o menos, se topó con una identificación de reunión legítima, pero la reunión no estaba sucediendo en ese momento en particular. "Técnicamente, es una especie de escuchas telefónicas o poder espiar a alguien", dice Desko.
Pero, ¿por qué Zoom tendría este defecto en particular? Fue expuesto en parte porque Zoom explotó exponencialmente en popularidad durante la pandemia de coronavirus, pasando de 10 millones de usuarios diarios en diciembre de 2019 a 200 millones de usuarios diarios en marzo. La compañía simplemente no estaba preparada para la avalancha de personas que querían usarlo para clases, reuniones y happy hours virtuales con amigos.
"Zoom es principalmente una herramienta de colaboración corporativa que permite a las personas colaborar sin obstáculos. A diferencia de las plataformas de redes sociales, no era un servicio que tuviera que diseñar formas de gestionar el mal comportamiento de los usuarios, hasta ahora", dice David Tuffley, profesor de Ética aplicada y estudios socio-técnicos en la Universidad Griffith en Australia, en una entrevista por correo electrónico. "Su base de usuarios ha crecido enormemente y es probable que haya mal comportamiento".
El repentino aumento de tráfico también expuso otras fallas de seguridad , como las cuentas de la web oscura y la falta de cifrado. El FBI emitió una advertencia sobre el atentado de Zoom el 30 de marzo. Algunas organizaciones han optado por prohibir Zoom. Google no permitirá que sus empleados lo usen en sus computadoras portátiles. Todo es consecuencia porque Zoom no solucionó sus defectos con la suficiente rapidez, dice Desko.
"En seguridad de la información y ciberseguridad, hablamos de tres cosas: hablamos de confidencialidad, integridad y disponibilidad", dice Desko. La gente quiere que sus reuniones (especialmente en los negocios) sean extremadamente confidenciales.
Además, dice, el Citizen Lab de la Universidad de Toronto "mostró que la tecnología de encriptación que Zoom supuestamente usaba no era tan fuerte como ellos dicen [que era]. En realidad están usando una tecnología de encriptación que era bastante descifrable". "
Es algo, dice, que llevará meses arreglarlo. (Si bien Zoom ha solucionado algunas fallas de seguridad , a partir de agosto de 2020, todavía había informes de bombas de zoom).
¿Y en cuanto a integridad?
A medida que Zoom ha ampliado la capacidad de su servidor, ha comenzado a utilizar servidores con sede en China, con empleados chinos. "Hay mucha gente que cuestiona la confidencialidad de las herramientas", dice Desko. Esa es una de las razones por las que el Senado de los Estados Unidos pidió a los miembros que se abstuvieran de usar Zoom. El Pentágono también hizo lo mismo el 10 de abril.
Detener el bombardeo de zoom
Desde que el bombardeo de Zoom se convirtió en un problema, Zoom ha cambiado su configuración predeterminada para que a cada reunión se le asigne automáticamente una contraseña requerida para ingresar; Además, la función de "sala de espera" ahora se habilita automáticamente cuando configura una reunión. Esto evita que los usuarios se unan a una llamada antes de que usted, el anfitrión, los haya examinado. Finalmente, el código de identificación de la reunión no se muestra en la barra de título durante una reunión de Zoom.
Desko cree que estas medidas contribuirán en gran medida a detener los bombardeos de Zoom. "Es bueno mantener la identificación de la reunión en privado para que las personas no puedan asociar su identificación de reunión con usted o su empresa", dice. "O si eres una persona de alto perfil como Boris Johnson, compartir su ID de reunión [como lo hizo en un tweet como parte de una captura de pantalla de Zoom el 31 de marzo] fue como compartir la dirección de la cueva de los murciélagos. Aunque la cueva de los murciélagos está seguro, ahora es un objetivo específico. La contraseña es clave para mantener la reunión segura ".
Agrega que "si desea estar súper seguro, también debe cambiar su ID de reunión con cada llamada y contraseña. Hay una configuración para generar un nuevo ID de reunión automáticamente y también puede configurar la contraseña personalmente".
Como mínimo, asegúrese de que las nuevas funciones de seguridad de Zoom se hayan habilitado en las reuniones que está configurando.
"Si ya tiene una reunión [recurrente] configurada que usó la configuración predeterminada anterior, debe volver a Zoom y actualizarla", dice Desko. "Eso es bastante fácil de hacer".
Otra forma de evitar que personas externas se apropien de su reunión es hacer que la opción "compartir pantalla" solo esté disponible para el anfitrión. También puede silenciar los micrófonos de todos menos el anfitrión o el orador y bloquear la reunión cuando todos se hayan unido para evitar robos. Estas funciones se pueden realizar en la barra de herramientas Zoom. Y finalmente, no publique un enlace público a su reunión que pueda invitar a invitados no deseados a intentar ingresar.
AHORA ESO INTERESANTE
Zoom ha soportado una cantidad increíble de mala prensa por sus deficiencias durante la pandemia. Pero otras herramientas de conferencias (como Skype, Webex y Google Hangout) también tienen problemas de seguridad, por lo que no importa qué software elija, no haga suposiciones sobre la privacidad de sus reuniones en línea. Utilice algunos de los mismos consejos que le dimos para Zoom para que sus otros tipos de reuniones virtuales sean seguros.
Publicado originalmente: 14 de abril de 2020
