¿Qué sabemos sobre un supuesto robo de 19.000 euros tras instalarse la aplicación Zoom?

Nos habéis preguntado por un audio en el que una mujer asegura que tras instalarse la aplicación de videollamadas Zoom ha sido víctima de una estafa. "El domingo se descargó mi marido la aplicación de Google, Zoom, y el martes por la tarde entraron en mi cuenta y nos han hecho un fraude de 19.000 euros. Ya sabemos por dónde ha sido porque nos lo ha dicho la Guardia Civil que es a través de esta aplicación". Desde Guardia Civil indican a Maldita.es que no les consta la denuncia de la que habla el audio y que, por ende, ellos no pueden haber dicho que esté relacionada con Zoom. BBVA descarta que el caso esté relacionado con fallos de seguridad de Zoom.

Os contamos lo que sabemos:

Los afectados creen que ha sido a través de Zoom, pero Guardia Civil indica que no les consta la denuncia

Desde Verifica RTVE cuentan que han hablado con la afectada y su pareja, quienes declaran el robo de 19.000 euros, y según indican, pese a que consideran que lo más probable es que la instalación de esta aplicación sea la causa "se muestran prudentes en confirmar que finalmente se haya producido a través de Zoom". “No somos expertos, pero creemos que ha sido por ese fallo de Zoom”, han dicho.

Según el audio viral que circula, la pareja habría puesto la denuncia en la Guardia Civil. Además, en una entrevista concedida en Cadena Ser, la propia afectada ha aclarado que está tramitando la recuperación del dinero a través del banco e insiste en que la Guardia Civil está investigando el caso. Sin embargo, Guardia Civil nos indica que no les consta la denuncia de la que habla el audio y que, por ende, ellos no pueden haber dicho que está relacionada con Zoom. Desde Maldita.es no estamos valorando si la historia es cierta o no. Os contamos qué dicen tanto la afectada como la Guardia Civil. *

BBVA descarta que el caso esté relacionado con fallos de seguridad de Zoom*

En el audio que circula, la afectada afirma que les hicieron dos transferencias (de 9.000 y 10.000 euros) de una cuenta del BBVA, que les cambiaron las claves de la cuenta y que se pusieron en contacto con el departamento de fraudes de dicho banco. BBVA publicó el 11 de abril un tuit en el que afirman que sus "equipos técnicos descartan" una relación entre "fallos de seguridad de la aplicación Zoom" y "fraudes a clientes de BBVA" y hacen referencia a los audios que circulan al respecto.

Zoom reconoce varias brechas de seguridad pero ninguna implica que se llegue a obtener datos bancarios

Lo que sabemos hasta el momento es que las complicaciones con Zoom vienen de distintos frentes: los hay relacionados con fugas de datos a otras aplicaciones, con fallos del propio programa que dejara al descubierto datos de las cuentas y con que sus medidas de privacidad no fueran tan eficientes como decían ser. Y la cuestión es que han llegado todos muy seguidos en un período de tiempo corto, este mes de marzo.

Además, sabemos que la aplicación en dispositivos Apple mandaba datos a Facebook aunque no tuvieras cuenta en la red social. Por otro lado, una investigación reveló que las llamadas que Zoom decía que cifraba no lo estaban siempre. Y un fallo de la aplicación desvelaba miles de nombres, usuarios y correos aleatorios a otras personas.

Eso sí, en ninguna de las fallas que Zoom admitió que habían ocurrido tras ser denunciadas figura alguna que implicara acceder a una cuenta bancaria personal y poder sustraer el dinero que hay en ella, como se dice en el audio. El último comunicado que ha emitido la compañía, a 9 de abril a las 16:30 horas, es del 8 de abril y contiene preguntas y respuestas hechas al director ejecutivo de la compañía, Eric S. Yuan, sobre sus problemas de seguridad. Tampoco contiene referencias a supuestos hackeos de entidades bancarias por haber descargado la aplicación.

La Oficina de Seguridad del Internauta (OSI) recomienda actualizar la versión de Zoom

La Oficina de Seguridad del Internauta (OSI), del INCIBE, recomendó el pasado 6 de abril actualizar la aplicación lo antes posible. Para ello, es necesario acceder al centro de descargas de Zoom, y descargar e instalar la última versión disponible.

Según indican, la vulnerabilidad descubierta afecta al sistema operativo Windows, y podría permitir a un ciberdelincuente robar el nombre de usuario de la víctima y el hash de su contraseña de acceso al equipo. Aunque la contraseña no sea visible, si no fuera lo suficientemente robusta, podría ser deducida con facilidad. Además, utilizando la misma vulnerabilidad, el atacante podría ejecutar archivos y programas en el equipo de la víctima, según cuentan.

Es decir, que lo que está confirmado con esta vulnerabilidad es que se hayan llegado a obtener los hash de las contraseñas de las cuentas de Windows de los usuarios, pero no de sus credenciales bancarias.

Expertos indican que puede tratarse de una aplicación maliciosa haciéndose pasar por Zoom

Marta Beltrán, directora del grado de Ciberseguridad de la Universidad Rey Juan Carlos indica a Maldita.es que sí han conocido casos reales de gente que se ha instalado, sin querer, un troyano bancario supuestamente a través de Zoom. "Lo que hemos visto es que la gente creía que se estaba instalando Zoom, pero luego haciendo el forense nos dimos cuenta de que era una aplicación maliciosa. Eso está pasando muchísimo, con Zoom y otras aplicaciones", apunta. "La gente no se da cuenta de que no está en el sitio oficial para descargarse el plugin que necesita para descargarse Hangouts (Google) o Zoom. Entonces, se instala la aplicación, creyendo que es de Zoom, pero con troyano bancario", resalta.

Según indica, el troyano lo que hace es robarte las credenciales de acceso al banco. "Si el banco lo está haciendo bien esto no debería de resultar crítico porque una cosa es que te roben el usuario y la contraseña de acceso al banco y otra que permitan hacer una transferencia bancaria o movimiento de fondos", en referencia a la doble verificación que se solicitan para estas transferencias.

Así, indica que a priori lo que ocurre no es culpa de Zoom, de Skype o de WhatsApp sino que se debería a que uno se ha descargado una herramienta de un sitio que no es oficial con un troyano bancario.

Esta cadena recomendando desinstalar Zoom no es de la Guardia Civil

Por otro lado, circula una cadena atribuida a Guardia Civil recomendando desinstalar la aplicación. Sin embargo, Guardia Civil indica a Maldita.es que no es real ni sale de ellos. Además, esto lo han indicado también en Twitter: "este mensaje que corre por grupos de WhatsApp es un bulo que aprovecha un tweet de Guardia Civil y la actualización de seguridad de Zoom para usuarios de Windows para generar alarma social".

Sí es cierto que publicó un tuit el 1 de abril (que aparece en esa cadena), indicando que con motivo del auge de Zoom los ciberatacantes están aprovechando para registrar nuevos dominios y distribuir malware, pero no hacen referencia explícita a desinstalar la aplicación ni mencionan el caso de una supuesta estafa de 19.000 euros a través de esta aplicación.

Además, el 8 de abril publicó un tuit haciendose eco de la "vulnerabilidad en la versión para Windows" de la app. Esa falla está explicada en este artículo y su consecuencia es que los ciberatacantes podrían hacerse con los nombres de usuario y las secuencias encriptadas de contraseñas de las cuentas de Windows de las personas afectadas.

Aquí, tampoco hacen referencia explícita a desinstalar la aplicación ni mencionan el caso de una supuesta estafa de 19.000 euros a través de esta aplicación.

Desde Mossos d' Esquadra también recomiendan actualizar la aplicación Zoom**

Está circulando por redes sociales un mensaje atribuido al Departamento de Educación de la Generalitat de Cataluña recomendado desinstalar la aplicación Zoom de los móviles, tabletas y ordenadores enlazando a un comunicado de Mossos d' Esquadra.

Hemos preguntado al Departamento de Educación sobre si este mensaje es suyo, pero hasta el momento de esta publicación no hemos recibido respuesta. Desde Mossos d' Esquadra en un primer momento sí recomendaron desinstalar la aplicación Zoom de los dispositivos tal y como confirmaron a Maldita.es desde el cuerpo policial, pero más tarde rectificaron su posición y emitieron un nuevo comunicado en el que recomendaban su actualización, no desinstalarla.

*Hemos incluido una entrevista de la afectada en Cadena Ser explicando que está en vías de recuperar el dinero.

**Hemos actualizado este párrafo para señalar el cambio de criterio de Mossos de Esquadra, que en un primer momento recomendaron desinstalar la aplicación Zoom pero en un comunicado posterior limitaron la recomendación a su actualización.

***Hemos actualizado este artículo el 12/04/20 para incluir la reacción de BBVA.