Un fallo en Zoom permitía descubrir la contraseña en cuestión de minutos

Zoom intentos fallidos contraseña

Zoom, la plataforma para realizar videollamadas mas popular durante los meses de cuarentena, vuelve a verse envuelta en un problema de seguridad que permite a extraños entrar a reuniones privadas, en sólo minutos. Este problema ya lo tenía la compañía en el mes de abril, y para evitarlo, Zoom compró una firma de encriptación y además obligó a todos los usuarios a proteger con contraseña sus videollamadas, tras el lanzamiento de una nueva versión.

Zoom no bloqueaba el sistema al registrarse numerosos fallos de acceso a una sala, lo que permitía, por combinatoria, descubrir cualquier contraseña

Eso pareció resolver el problema, pero de acuerdo al descubrimiento realizado ahora por Tom Anthony, un analista de seguridad, no sería suficiente. Según señala el investigador, al intentar acceder a una videollamada privada mantenida en el seno del Gobierno del Reino Unido, descubrió que la plataforma no tiene un límite de intentos fallidos al introducir una clave reiteradamente.

Así, probando una y otra vez, al final se logra acceder, sobre todo si se programa algún script para que pruebe contraseñas indefinidamente. Esta es la foto que ha publicado el analista como prueba de que se pudo colar en la reunión privada:

Zoom descifrar contraseña

A pesar de que todos los usuarios de de la plataforma de videollamadas están obligados a cifrar sus reuniones, al parecer, el problema se encuentra en que la contraseña predeterminada que asigna Zoom se compone de seis dígitos y no es difícil de adivinar ya que las posibles combinaciones de números dan un número máximo de un millón de posibilidades.

Para usuarios normales intentar descifrar una contraseña de seis dígitos entre un universo de un millón puede ser imposible. Sin embargo, para piratas informáticos que descubren contraseñas más complicadas gracias al desarrollo de programas informáticos, dar con ella puede ser cuestión de minutos.

En este caso, al tener una cantidad máximo de opciones, utilizando sus conocimientos técnicos y un equipo informático Tom Anthony accedió a la sala tras ver un pantallazo publicado por el primer ministro del Reino Unido, Boris Johnson, donde se veía el ID de la reunión.

Teniendo ya ese dato, Anthony utilizó un script en Python (código que soporta numerosos lenguajes de programación) y que ejecutó desde su ordenador personal. En tan solo 30 minutos, obtuvo la contraseña para poder ingresar a esta reunión del gobierno del Reino Unido. Según ese experiencia, si la búsqueda de la contraseña se realiza con cuatro o cinco servidores de manera simultánea  y conectados en la nube, este tiempo de 30 minutos se podría reducir a 5 minutos o menos. Este ha sido el mensaje de éxito que logró al encontrar la contraseña de la reunión:

===FOUND PASSWORD===
Password: 170118
Passwords tried: 43164
took 28m 52s 392 ms

Anthony ha contactado con Zoom para denunciar el fallo de seguridad y la empresa, propiedad Eric Yuan, procedió a desconectar el cliente web mientras resolvía la situación. Zoom invitó al investigador a que se apuntase al programa de recompensas de la compañía, por el que paga a los usuarios que alertan de fallos dentro de la plataforma. Sin embargo, el analista ha reconocido que nunca envió el error a través de este programa, por lo que su recompensa económica nunca llegó.

Joaquín Romero

Redactor de Contenidos, Ingeniero en Sistemas y Desarrollador. Especializado en temas tecnológicos e innovadores que marcan el futuro de la humanidad.

Deja un comentario

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS

Responsable: TreceBits S.L. (TreceBits)
Finalidad: Que puedan comentar las noticias publicadas
Legitimación: Consentimiento del interesado. Satisfacción del interés legítimo del Responsable.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: [email protected].
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.