Un fallo en Zoom permitía descubrir la contraseña en cuestión de minutos

Zoom intentos fallidos contraseña

Zoom, la plataforma para realizar videollamadas mas popular durante los meses de cuarentena, vuelve a verse envuelta en un problema de seguridad que permite a extraños entrar a reuniones privadas, en sólo minutos. Este problema ya lo tenía la compañía en el mes de abril, y para evitarlo, Zoom compró una firma de encriptación y además obligó a todos los usuarios a proteger con contraseña sus videollamadas, tras el lanzamiento de una nueva versión.

Zoom no bloqueaba el sistema al registrarse numerosos fallos de acceso a una sala, lo que permitía, por combinatoria, descubrir cualquier contraseña

Eso pareció resolver el problema, pero de acuerdo al descubrimiento realizado ahora por Tom Anthony, un analista de seguridad, no sería suficiente. Según señala el investigador, al intentar acceder a una videollamada privada mantenida en el seno del Gobierno del Reino Unido, descubrió que la plataforma no tiene un límite de intentos fallidos al introducir una clave reiteradamente.

Así, probando una y otra vez, al final se logra acceder, sobre todo si se programa algún script para que pruebe contraseñas indefinidamente. Esta es la foto que ha publicado el analista como prueba de que se pudo colar en la reunión privada:

Zoom descifrar contraseña

A pesar de que todos los usuarios de de la plataforma de videollamadas están obligados a cifrar sus reuniones, al parecer, el problema se encuentra en que la contraseña predeterminada que asigna Zoom se compone de seis dígitos y no es difícil de adivinar ya que las posibles combinaciones de números dan un número máximo de un millón de posibilidades.

Para usuarios normales intentar descifrar una contraseña de seis dígitos entre un universo de un millón puede ser imposible. Sin embargo, para piratas informáticos que descubren contraseñas más complicadas gracias al desarrollo de programas informáticos, dar con ella puede ser cuestión de minutos.

En este caso, al tener una cantidad máximo de opciones, utilizando sus conocimientos técnicos y un equipo informático Tom Anthony accedió a la sala tras ver un pantallazo publicado por el primer ministro del Reino Unido, Boris Johnson, donde se veía el ID de la reunión.

Teniendo ya ese dato, Anthony utilizó un script en Python (código que soporta numerosos lenguajes de programación) y que ejecutó desde su ordenador personal. En tan solo 30 minutos, obtuvo la contraseña para poder ingresar a esta reunión del gobierno del Reino Unido. Según ese experiencia, si la búsqueda de la contraseña se realiza con cuatro o cinco servidores de manera simultánea  y conectados en la nube, este tiempo de 30 minutos se podría reducir a 5 minutos o menos. Este ha sido el mensaje de éxito que logró al encontrar la contraseña de la reunión:

===FOUND PASSWORD===
Password: 170118
Passwords tried: 43164
took 28m 52s 392 ms

Anthony ha contactado con Zoom para denunciar el fallo de seguridad y la empresa, propiedad Eric Yuan, procedió a desconectar el cliente web mientras resolvía la situación. Zoom invitó al investigador a que se apuntase al programa de recompensas de la compañía, por el que paga a los usuarios que alertan de fallos dentro de la plataforma. Sin embargo, el analista ha reconocido que nunca envió el error a través de este programa, por lo que su recompensa económica nunca llegó.

Joaquín Romero

Redactor de Contenidos, Ingeniero en Sistemas y Desarrollador. Especializado en temas tecnológicos e innovadores que marcan el futuro de la humanidad.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Información sobre protección de datos

    • TreceBits te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Manuel Moreno Molina (TreceBits) como responsable de esta web.
    • La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog.
    • Legitimación: Consentimiento del interesado.
    • Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de HOST EUROPE IBERIA S.L.U. (proveedor de hosting de TreceBits. HOST EUROPE IBERIA S.L.U. está ubicado en UE, en España un país cuyo nivel de protección son adecuados según la Comisión de la UE. Ver política de privacidad de HOST EUROPE IBERIA S.L.U.
    • Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@trecebits.comasí como el derecho a presentar una reclamación ante una autoridad de control.
    • Puedes consultar la información adicional y detallada sobre Protección de Datos en nuestra política de privacidad.