Por John P. Mello Jr.
15 abr.2020 10:38 AM PT
Los clientes que pagan de Zoom podrán elegir la región que desean usar para sus reuniones virtuales, anunció la compañía el lunes.
A partir del sábado, los clientes que pagan pueden optar por entrar o salir de una región específica del centro de datos, aunque no podrán cambiar su región predeterminada, que para la mayoría de los clientes es Estados Unidos.
Zoom tiene centros de datos en los EE. UU., Canadá, Europa, India, Australia, China, América Latina y Japón / Hong Kong.
La medida se produce después de que el Citizen Lab de la Universidad de Toronto a principios de este mes publicara un informe que encontró que Zoom generó claves de cifrado en los servidores en China, a pesar de que todas las personas en una llamada estaban ubicadas fuera del país.
Aunque los usuarios del servicio gratuito no tendrán la opción de aceptar o rechazar el pago de los clientes, Zoom dijo que no enrutará los datos de ningún usuario ubicado fuera de China a través del país.
Evitar servidores inseguros
"Los cambios en el enrutamiento de datos son positivos", observó Colin Bastable, CEO de
Lucy Security, una compañía de concientización y capacitación en seguridad ubicada en Zug, Suiza.
"Todos esos usuarios gratuitos deberían estar contentos de que no se envíen datos a través de China, y los usuarios pagos estarán contentos con las opciones que se ofrecen", dijo a TechNewsWorld.
Permitir el enrutamiento personalizado atraerá a algunas empresas que deben cumplir con los requisitos de cumplimiento de sus industrias.
"Hay ciertos estándares gubernamentales y de seguridad cibernética que requieren que el tráfico permanezca dentro de los Estados Unidos", explicó James McQuiggan, defensor de la conciencia de seguridad en
KnowBe4, un proveedor de capacitación en concientización de seguridad ubicado en Clearwater, Florida.
"Para las organizaciones que no desean aceptar el riesgo de que el tráfico salga de Estados Unidos, esto mitigará y resolverá ese riesgo", dijo a TechNewsWorld.
Administrar una ruta de llamada le permite al planificador de reuniones evitar servidores potencialmente inseguros, dijo Justin Kezer, consultor administrativo de
nVisium, un proveedor de seguridad de aplicaciones basado en Falls Church, Virginia.
"Eso limita el riesgo de que alguien escuche una llamada activa a través de una función de seguridad de la aplicación que falta, como la falta de contraseña y controles de acceso, o desviar los datos directamente de un servidor vulnerable", dijo a TechNewsWorld.
Sin embargo, el enrutamiento personalizado no resuelve otro defecto que Citizen Lab encontró con Zoom, señaló Charles Ragland, ingeniero de seguridad en San Francisco.
Sombras digitales, un proveedor de soluciones digitales de protección de riesgos.
"Esto no mitiga el riesgo planteado por la falta de cifrado verdadero de extremo a extremo o cifrado débil que fue descubierto por Citizen Lab", dijo a TechNewsWorld.
Contraseñas para la venta
La popularidad de Zoom se disparó con la propagación del virus COVID-19 y el aumento resultante de los trabajadores a domicilio. Parece que su popularidad recién descubierta atrajo más atención de los hackers.
La información sobre más de 500,000 cuentas de Zoom ha aparecido a la venta en Dark Web y en foros de hackers, con un precio de un centavo por cada una, o menos, informó Bleeping Computer el lunes.
Los datos se compilaron mediante ataques de relleno de credenciales. Los inicios de sesión de violaciones de datos anteriores se probaron en Zoom, y los que funcionaron se agruparon y se vendieron a otros piratas informáticos, explicó BC.
"Los delincuentes siempre aprovecharán la oportunidad de elevar su perfil o seguir siendo relevantes. Esto sería más de lo mismo", observó Ragland de Digital Shadows.
"Zoom es el enfoque actual de la industria de la seguridad, y se han llevado a cabo muchas discusiones en profundidad al respecto, convirtiéndolo en un objetivo principal para los delincuentes", explicó.
"Se están vendiendo miles de millones de credenciales en la Dark Web: 500,000 no hacen ninguna diferencia", dijo Bastable de Lucy Security. "Por supuesto, el peligro es que los usuarios están usando las mismas contraseñas para otros inicios de sesión, lo que sabemos que hacen".
La venta de las cuentas de Zoom en la Dark Web demuestra cuán mala es la seguridad de la contraseña, observó Joseph Carson, científico jefe de seguridad de
Thycotic, un proveedor de soluciones de administración de cuentas privilegiadas con sede en Washington D.C.
"Una vez que alguien es mayor de edad y puede conectarse a Internet, debe recibir información sobre cómo usar un administrador de contraseñas o, para ser sincero, debe ser la configuración predeterminada en nuestros navegadores", dijo a TechNewsWorld.
La venta de las cuentas de Zoom "plantea preguntas para algunas soluciones sobre si los usuarios deberían poder elegir sus propias contraseñas", dijo Carson.
Gestión de seguridad
Aunque Zoom se ha encontrado bajo la lupa de seguridad, no ha dejado caer la pelota, mantuvo Kezer de nVisium.
"Zoom está haciendo un excelente trabajo reaccionando a los problemas de seguridad. Sin embargo, como la mayoría de las empresas, las medidas de seguridad proactivas y las pruebas habrían evitado estos problemas", dijo.
"Rápidamente aceptan la vulnerabilidad y emiten rápidamente un parche, eso es lo máximo que podemos pedirle a cualquier compañía", continuó Kezer. "Francamente, estoy impresionado de que hayan puesto todos sus esfuerzos de desarrollo en pro de la seguridad. Esa es una señal de un equipo de administración sólido con mentalidad de seguridad. Ahora están siendo proactivos".
A pesar de esos esfuerzos de seguridad, hay signos de ansiedad en la comunidad Zoom.
El doce por ciento de los 4.000 profesionales que respondieron a una encuesta reciente habían dejado de usar Zoom, incluido el 100 por ciento de los profesionales de Tesla. Blind, una red anónima de profesionales en el lugar de trabajo con sede en San Francisco, publicó los resultados la semana pasada.
Más de un tercio de los profesionales encuestados (35,2 por ciento) dijeron que les preocupaba que su información pudiera haber sido comprometida.
"Aunque Zoom tenía grandes intenciones, intentaban acomodar a la fuerza laboral durante una pandemia rápidamente", escribió Fiorella Riccobono, autora de Blind Workplace Insights. "Ese rápido crecimiento dejó expuestas las vulnerabilidades de la plataforma".
Sin embargo, algunas empresas se sienten cómodas con Zoom.
"Como compañía de seguridad, usamos Zoom todos los días", dijo Ameesh Divatia, CEO de
Deflector, una compañía de protección de datos en San Francisco.
"Nos sentimos cómodos porque nos aseguramos de que nuestros usuarios estén informados sobre cómo organizar reuniones y de que sepan quién participa", dijo a TechNewsWorld.
Una característica que Baffle no usa son las contraseñas para los participantes de la reunión. Utiliza la función "sala de espera". Los participantes de la reunión permanecen en una sala de espera virtual hasta que el organizador de la reunión los borre. De esa forma, el organizador no tiene que preocuparse de que la contraseña de un participante se vea comprometida y que una parte no deseada bloquee la reunión.
Esa característica también tiene sus problemas.
"Durante nuestro análisis, también identificamos un problema de seguridad con la función de sala de espera de Zoom", afirma el informe de Citizen Lab sobre Zoom. "Al evaluar que el problema presentaba un riesgo para los usuarios, hemos iniciado un proceso de divulgación de vulnerabilidad responsable con Zoom. Actualmente no estamos brindando información pública sobre el problema para evitar su abuso. Tenemos la intención de publicar detalles de la vulnerabilidad una vez que Zoom lo haya hecho. tuve la oportunidad de abordar el problema ".
John P. Mello Jr. ha sido reportero de ECT News Network
desde 2003. Sus áreas de enfoque incluyen seguridad cibernética, problemas de TI, privacidad, comercio electrónico, redes sociales, inteligencia artificial, big data y electrónica de consumo. Ha escrito y editado para numerosas publicaciones, incluyendo el Boston Business Journal, el
Boston Phoenix, Megapixel.Net y Gobierno
Noticias de seguridad. Email John.