Mondino es Director de Seguridad de la Información (CISO) de DirecTV Latin America, y antes fue el Gerente Corp. de Seguridad de la Información de Arcor, por más de 23 años. También fue presidente del Comité Académico de Segurinfo Argentina en 2019 y es el actual vicepresidente de dicho Comité. Y recibió el reconocimiento al "CISO del Año" en 2018 otorgado por USUARIA.
Testa es docente de nuestra casa de estudios, responsable de operaciones de SMARTFENSE, plataforma de concienciación que genera hábitos seguros en usuarios finales, fue Director del Campus Virtual Aula 25 de nuestra Facultad, y Responsable IT del Área de Sistemas de Gaviglio Comercial S.A.
Consultados sobre si la utilización de Zoom implica un riesgo para los datos personales que tenemos en nuestros dispositivos, el ingeniero Testa respondió: “Zoom puede ser una opción apropiada para las videollamadas en la mayoría de los casos. Se considera asumible el riesgo de usar Zoom para reuniones que no sean muy sensibles en su contenido, clases escolares y situaciones fuera de la oficina sobre asuntos rutinarios. También para reuniones del tipo familiar y es recomendable no dejar el libre uso de la aplicación en niños o menores de edad”.
Por su parte Mondino explicó: "Las fallas de seguridad fueron corregidas en las últimas versiones de la aplicación y ya no representan riesgos para datos personales, esto dicho por la misma empresa. Esto no significa que en nuevas versiones de la aplicación vuelvan a aparecer”.
Y Testa coincidió en que es fundamental actualizar la aplicación a su última versión "si tenemos instalado el programa en la computadora o la app en el dispositivo móvil. Es conveniente adoptar unas buenas prácticas y usos no solamente en Zoom, sino en todas las videollamadas que realicemos. Aún quedan algunos resquicios de privacidad y seguridad por subsanar como el cifrado en las comunicaciones de extremo a extremo, pero como decíamos, no debería haber inconveniente para reuniones en las que no se comparta información confidencial”.
Y agregó: “Las instituciones públicas de ciberseguridad están haciendo una inmensa labor informando sobre todo lo que ocurre y están muy activos. También empresas especializadas en el tema, tratando de difundir las buenas prácticas, consejos y dejando claro cuáles son las falsas informaciones que se difundieron ante algunas problemáticas o vulnerabilidades que ha sufrido”.
En cuanto a los posibles casos de fuga de datos personales por el uso de esta plataforma, el ingeniero Mondino comentó que “aparecieron casos locales de gente que dice que por estar usando Zoom (y dejarlo activo cuando no está en uso, que es algo no recomendable) alguien tuvo acceso a su cuenta bancaria o de MercadoPago. Aunque no está demostrado que haya una relación directa, Zoom es una aplicación que en un principio era muy insegura (Google prohibió su uso en la compañía ), aunque la semana pasada publicó una versión que, dice, resuelve todos sus problemas”.
Y el ingeniero Testa agregó en ese sentido: "Hace unos días se hizo público un agujero de seguridad o vulnerabilidad que estaba presente en la versión para Windows de Zoom. Si un ciberdelincuente, aprovechando esta vulnerabilidad, nos enviara un enlace e hiciéramos ‘click’ en él, le estaríamos enviando nuestro nombre de usuario y el hash de nuestra contraseña de Windows (un código único generado de forma automática a partir de la contraseña). Este fallo afecta a las versiones de Zoom para Windows anteriores a la 4.6.9. Por eso, es fundamental actualizar la aplicación desde el Centro de Descargas de Zoom”.
“Hay que tener en cuenta que todos los programas, software, plataformas, herramientas, sistemas operativos y dispositivos son susceptibles de tener fallos de seguridad. Se descubren nuevos agujeros de seguridad prácticamente cada día, los cuales las compañías deben revisar y solucionar para sacando nuevas versiones (actualizaciones) de esos sistemas con parches que arreglan el problema de seguridad”, indicó el docente de nuestra casa de estudios.
Y señaló: "Eso no significa que no se deba dar relevancia, al contrario. Los desarrolladores y empresas tienen la responsabilidad y obligación de sacar al mercado soluciones y productos seguros, con la ciberseguridad por diseño. No obstante, la complejidad de la tecnología es altísima y los fallos pueden ocurrir y ocurren. En el caso de Zoom, se ha producido un aumento muy significativo de su uso, lo que también significa que ha habido más personas mirando su código”.
“Es importante –destacó Testa- que como usuarios estemos al tanto de posibles vulnerabilidades y fallos para no ser víctima de un posible agujero de seguridad. Parte de esta recomendación es la de mantener todos estos programas, apps y sistemas actualizados a sus últimas versiones”.
“Otra de las vulnerabilidades que tenía Zoom por un fallo en su diseño, permite facilitar la conexión, sólo con un enlace y unas pruebas aleatorias a personas ajenas a la videoconferencia y podían entrar sin ningún permiso concreto. Entonces ha habido casos en los que se han filtrado personas para insultar, incordiar, molestar, transmitir imágenes o videos, etc… en videollamadas ajenas. Este tipo de ataque es conocido como: ZOOMBOMBING. Pero generalmente no se han detectado fuga de información para este tipo de casos. Para evitar esto, se recomienda poner una clave de acceso, además de activar lo que denominan ‘sala de espera’ de Zoom al programar una reunión, de forma que sea el anfitrión el que autorice el acceso”, explicó Testa.
Y comentó finalmente: "Por otro lado, debido al enorme aumento en su uso y popularidad, han creado aplicaciones maliciosas que se hacen pasar por Zoom y han conseguido colarlas en la red y en tiendas de apps móviles. Además, han registrado dominios falsos que se hacen pasar por la compañía para que los usuarios se descarguen de ahí un ejecutable con código dañino. Por eso es fundamental verificar que la estamos descargando desde las fuentes oficiales. Si se toman estos recaudos se reduce mucho las probabilidades de que este tipo de ataques tengan éxito y vuelvan a suceder inconvenientes de seguridad”.
“No existe la aplicación 100% segura”, sentenció Mondino, y agregó: “Todas las aplicaciones pueden tener problemas de construcción que generen problemas de seguridad, pero los mayores problemas de seguridad se dan porque los usuarios no siempre siguen las mejores prácticas para configurarlas. Hay otras herramientas de chat de video como Hangouts de Google, Webex de Cisco y FaceTime para los dispositivos de Apple”.
Recomendaciones
Le consultamos a ambos graduados de nuestra Facultad sobre cuáles son las recomendaciones que los usuarios de Zoom deben tener en cuenta para fortalecer la seguridad informática en la utilización de dicha plataforma.
El ingeniero Mondino compartió las siguientes sugerencias:
1. Mantener siempre la versión actualizada de la aplicación tanto en los celulares como en las computadoras y tabletas.
2. No usar el ID personal para las reuniones, es mejor usar un ID distinto por reunión que se genera automáticamente y usar una contraseña de ocho o más caracteres de longitud.
3. Activar la función "Sala de espera" para poder ver quién está intentando unirse a la reunión antes de permitir el acceso.
4. Inhabilitar la capacidad de otros para unirse antes de que llegue el anfitrión (debería estar inhabilitada por defecto, pero hay que asegurarse).
5. Inhabilitar la posibilidad de compartir pantallas para quien no sea el anfitrión.
6. Inhabilitar cualquier posibilidad de transferencia de archivos mediante los chats.
7. Una vez que la reunión comenzó y todos están presentes, se debería bloquear la reunión y asignar al menos dos coanfitriones. Los coanfitriones ayudan a controlar la situación en caso de que alguien pueda pasar las barreras y meterse en la reunión.
8. Cerrar la aplicación cuando termina la reunión (abrirla solo cuando se utiliza).
A su turno, el ingeniero Fernando Testa recomendó:
1. ¡Agregar una contraseña a todas las reuniones!
2. Usar salas de espera.
3. Nunca compartir el ID de reunión por medios públicos.
4. Desactivar el uso compartido de la pantalla del participante.
5. Bloquear reuniones cuando todos se hayan unido.
6. Control de compartir pantalla.
7. Mantener Zoom actualizado.
8. Usar la autenticación multifactor (MFA).
9. Identificar invitados en la reunión.
Algunos links de interés:
https://blog.zoom.us/wordpress/es/2020/04/01/mensaje-para-nuestros-usuarios/
https://blog.zoom.us/wordpress/es/2020/03/27/practicas-recomendadas-para-proteger-su-aula-virtual/
https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
https://www.ccn.cni.es/index.php/es/docman/documentos-publicos/abstract/215-abstract-el-uso-de-zoom-y-sus-implicaciones-para-la-seguridad-y-privacidad-recomendaciones-y-buenas-practicas/file
https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9911-como-utilizar-la-plataforma-zoom-de-forma-segura-2.html
https://blog.segu-info.com.ar/2020/04/pasos-para-asegurar-zoom.html?m=1
https://youtu.be/_H48FLgN8Zo