Skip to main content

Dirección General de Modernización y Transformación Digital

Dirección General de Modernización y Transformación Digital
Departamento de Tecnologías de Información y Comunicación
Departamento de Ciberseguridad
Unidad de Modernización y Gestión de Procesos
Unidad de Proyectos de Innovación Tecnológica y Digital

Información sobre vulnerabilidad de Zoom

Estimada Comunidad Universitaria:

Respecto sobre las consultas recibidas por Zoom, podemos informar lo siguiente:

 1.- Zoom está consciente de las situaciones de seguridad y está haciendo mejoras a su software, además de explicar los niveles de encriptación que tienen sus videconferencias:

El Jueves 2 de Abril año 2020, Zoom publicó la actualización reciente a su software (donde soluciona un problema que se ha informado en reportes de seguridad y páginas web) y próximamente el 6 del mismo mes en el caso de la versión para  Windows (https://support.zoom.us/hc/en-us/articles/201361953-New-Updates-for-Windows)

 2.- Las situaciones de seguridad son:

2.1.- Zoombombing: Ingreso de un participante no deseado a la reunión, que la perturba ya sea con imágenes o sonidos. La principal forma de abordar esta situación son medidas que puede tomar el anfitrión de la reunión, entre las cuales se recomienda:

  • Crear reunión con ID aleatorio (generado por la misma aplicación) y publicarla en el Aula Virtual con no más de una semana de anticipación o enviarlas por canales seguros.
  • Requerir siempre ingreso con contraseña a la reunión.
  • Activar la función "Sala de espera" para que se pueda ver quién está intentando unirse a la reunión antes de permitir el acceso.
  • Inhabilita otras opciones, como por ejemplo, que los asistentes puedan unirse antes de que llegue el anfitrión.
  • Una vez que la reunión comenzó y todos están presentes, se puede cerrar la reunión para que no ingresen más asistentes.
  • Inhabilitar la función para compartir pantalla de los asistentes, de manera que sólo la pueda compartir el anfitrión.
  • No publicar la reunión en redes sociales.
  • Mandar siempre las invitaciones a correos institucionales @uv.cl, @alumnos.uv.cl y @postgrado.uv.cl y nunca a correos que no pertenecen a la institución o a un dominio conocido, como por ejemplo Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. 

2.2.- Ataques de ingeniería social (phising): Está situación, corresponde al ingresar a una reunión a través de un enlace que conduce a un sitio para realizar fraude. La forma de mitigar esta situación, es  conectarse siempre a reuniones utilizando un enlace que incorpore zoom.us, por ejemplo https://reuna.zoom.us, y que hayan sido recibido por los canales oficiales, por ejemplo, calendario de Google de cuentas institucionales, correo electrónico institucional y Aula Virtual.

2.3.- Ataques de fuerza bruta: Está situación, corresponden a los casos en que los atacantes intentan acceder a las cuentas de los usuarios, probando combinaciones de contraseñas. Esto es efectivo para ingresar a cuentas de Zoom y en general a cualquier cuenta de cualquier sistema informático si la contraseña es muy simple o de baja fortaleza. Se recomienda tener una contraseña de a lo menos 6 caracteres y que incluya mayúsculas, minúsculas, números y signos (punto, guión. etc).

2.3.- Malware: Está situación, corresponde distribución de software de fuentes no confiables, es decir, descargar software de sitios no oficiales que puede contener código malicioso. La recomendación en este caso, es mantener siempre actualizada la versión de Zoom y descargarla sólo de las tiendas de aplicaciones Apple Store y Google Play en móviles y en PC/MAC siempre desde Zoom.com

En resumen, la mayoría de las acciones de protección proviene de mejoras que hace la empresa (unas se han realizado y otras en curso) y de un uso adecuado y responsable, no solamente de Zoom, si no de cualquier sistema informático.

Informe del CSIRT https://www.csirt.gob.cl/media/2020/04/Recomendaci%C3%B3n-Teleconferencia.pdf (Equipo de Respuesta ante Incidentes de Seguridad Informática) del Gobierno de Chile, que contiene un importante nivel de detalle, análisis y recomendaciones actualizadas.

  • Creado el .