​Subsecretaría de Defensa alerta sobre fallo de seguridad en aplicación ZOOM y entrega recomadaciones a usuarios

|

ZOOM

La Subsecretaría de Defensa emitió una declaración púbica respecto a la alerta de y recomendaciones frente a vulnerabilidades de Zoom, aplicación que se ha hecho popular en tiempos de aislamiento por la pandemia del coronavirus.

En el escrito publicado este domingo, la repartición pública indica que la plataforma presenta fallo de seguridad en el cliente Windows de zoom, subrayando que “no existen parches para esta vulnerabilidad, la que podría permitir el robo de credenciales, otorgando al atacante privilegios de administrador de Windows. Esto permitiría a través de la manipulación de los links que envía la aplicación Zoom acceder a los distintos recursos del equipo, entre ellos micrófono, cámara, etc.”

Ante esto, la Subsecretaría recomendó:


- NO UTILIZAR Zoom para materias del Servicio ya sea de clasificación pública, reservada o secreta, puesto que información pude ser vulnerada, exponiendo datos de los usuarios y de los servicios, junto a los privilegios de las estaciones de trabajo.


- Alternativas de herramientas que existe en el mercado para video conferencia, podemos identificar menos vulnerables a las siguientes:


  • Meet de Google, https://gsuite.google.com/intl/es-419/products/meet/
  • Skype de Microsoft, https://www.skype.com/es/

  • - Para mayor seguridad, una solución que permite Video Conferencia es implementar Nube Privada a través de NextCloud, que dispone de varias funcionalidades.


    - En caso de tener que utilizar Zoom:


  • Deshabilitar la opción “unirse antes del anfitrión”, en su panel de configuración o en los controles del administrador para una llamada, con esto mantendrá un mayor control de los asistentes de la reunión.
  • Deshabilitar la “Transferencia de archivos”, minimizando el riesgo de compartir archivos infectados con algún tipo de malware.
  • Impedir la opción de “Permitir que los participantes eliminados se vuelvan a unir” para que la gente que ha sido expulsada del chat no pueda volver a entrar.
  • En caso de tener que usar Zoom, hacerlo en un equipo stand alone y sin información.

  • - Mantener las aplicaciones actualizadas permanentemente, siempre directamente sobre la aplicación (en App o Play Store) y no a través de hipervínculos.


    OTRAS INFORMACIONES


    En la última semana, apuntó la declaración oficial, se han publicado más de 1,700 sitios falsos de Zoom, con el propósito de descargar malware o phishing. A su vez, los ciberdelincuentes usando ataques de fuerza bruta sobre Zoom han accedido a detalles confidenciales de 2,400 reuniones por día.

    “CSIRT de Gobierno está trabajando en el envío de una alerta y recomendaciones más detalladas, las que serán enviadas prontamente”, concluyó la autoridad.