Las aplicaciones de videollamadas se han vuelto parte del día a día de los usuarios y, por ende, su seguridad debería ser una de las prioridades de sus desarrolladores. En una reciente competencia de hackers éticos, decidieron poner a prueba dos de las más populares: Zoom y Teams de Microsoft, con la sorpresa de que lograron encontrar vulnerabilidades que les permitía tomar total control de un dispositivo sin necesidad de que la víctima diera clic o interviniera para hacerlo.
Pwn2Own es un evento anual, que en su última versión entregó más de un millón de dólares, y logró demostrar que aún queda mucho por mejorar en las aplicaciones, explica el portal Forbes. Aunque en Teams encontraron vulnerabilidades, la que más llamó la atención fueron las de Zoom. En esta plataforma, los participantes al reto lograron acceder y tomar completo control de otro dispositivo sin necesidad de engañar a la víctima para que descargará archivos o diera clic en enlaces.
También te puede interesar: SIC ordena a Zoom reforzar sus medidas de seguridad.
De acuerdo con el blog de la competencia, los hackers lograron instalar sin problemas códigos en el computador de la víctima; además, demostraron que tenían completo control abriendo la calculadora (esta es una prueba común). Daan Keuper y Thijs Alkemade, fueron los dos investigadores que encontraron la vulnerabilidad al explotar en cadena tres fallas en Zoom.
Por su parte, un hacker conocido como OV se ganó $2.000 dólares al demostrar que era posible ejecutar un código en el computador de la víctima; lo logró después de combinar unas fallas en Teams. Otras fallas encontradas en tecnologías de Microsoft también fueron descubiertas durante el evento. Entre ellas, problemas en la nube y su correo electrónico. Por lo que los expertos hicieron especial hincapié en la importancia en que la compañía trabaje para mejorar sus sistemas; de este modo, evitar la oportunidad de que puedan ser explotadas fácilmente por los cibercriminales para atacar a las empresas que dependen de sus servicios.
Pwn2Own hará públicos los detalles de las vulnerabilidades encontradas durante su evento una vez las empresas hayan lanzado las actualizaciones que los corrijan.
Imagen: RawPixel.
