DEPARTAMENTO DE RESPUESTA A INCIDENTES

DE SEGURIDAD INFORMÁTICA
CSIRT-CR

Guía para el uso de la Herramienta Zoom

En este momento nos encontramos a nivel mundial ante la propagación del COVID-19, es
por esto por lo que Zoom se ha convertido en una de las herramientas más utilizadas por
instituciones y por familias para su comunicación diaria.

Es por esto que les brindamos algunos consejos para poder utilizar la herramienta Zoom
con el fin de disminuir las amenazas, y poder usarlo con mayor seguridad:

• Actualizar Zoom, o cualquier otro software de reuniones virtuales con frecuencia,

debemos de utilizar la versión, las actualizaciones no solo agregan nuevas
opciones y características, sino que también abordan "errores" y las brechas de
seguridad encontradas, si no hemos actualizado el software seguimos siendo
vulnerables.

• Los atacantes podrían adivinar números aleatorios asignados a las URL de las
conferencias Zoom y penetrarlos sin alertar a los anfitriones. Por lo cual se
recomienda usar una contraseña de inicio de sesión, es importante tener en cuenta
la manera en cómo invitamos a las personas a unirse a las reuniones, no tenemos
que compartir el enlace en una publicación de medios sociales que permita que
personas ajenas a la reunión se conecten.

• Se recomienda no hacer clic en el botón "Invitar" en la parte inferior de la pantalla,

luego "Copiar URL" o "Copiar invitación" para enviar a cualquier persona que desee
unirse a la llamada. Dado que este enlace no requiere ingresar una contraseña, ya
que cualquiera con el enlace puede ingresar a la llamada sin tener que mostrar un
número de identificación de llamada o contraseña.

CSIRT-CR Página 1 de 1
 DEPARTAMENTO DE RESPUESTA A INCIDENTES
DE SEGURIDAD INFORMÁTICA
CSIRT-CR

• Si hemos decidido usar la opción menos segura de compartir enlaces, podemos

evitar que los participantes muestren contenido inapropiado, esto se hace
restringiendo el uso de la cámara por parte de los participantes, ya que podemos
administrar a los participantes, dónde el administrador puede decidir quién puede
usar su cámara y micrófono haciendo clic en "Administrar participantes".

• Esta herramienta permite grabar video llamadas y exportarlas como archivos de

video en cuanto finalice la llamada. Esta es una herramienta muy útil para poder
actualizar a los que no estuvieron en la reunión. Pero hay un problema de
seguridad, dado que los participantes de la conversación pueden exportar el
archivo grabado, y puede llegar a manos maliciosas.

El administrador de llamadas puede decidir cuál de los participantes puede grabar

la llamada haciendo clic en "Permitir registro".
Debemos de tener presente que el participante también puede grabar la
conversación utilizando un software externo, por lo tanto, debemos de asumir que
puede estar siendo grabados.

• En Zoom, hay dos opciones para hacer que una reunión sea privada: solicitando
una contraseña de reunión o usando la función de sala de espera y controlar la
admisión de invitados. Tratemos de no realizar las reuniones de formato públicas y
proporcione el enlace directamente a las personas específicas que van a participar
en la reunión

• Debemos siempre de administrar las opciones de pantalla compartida. Para evitar

que los participantes compartan la pantalla, use los controles del host (el
administrador de la reunión)

CSIRT-CR Página 1 de 1
 DEPARTAMENTO DE RESPUESTA A INCIDENTES
DE SEGURIDAD INFORMÁTICA
CSIRT-CR

• Es importante recordar leer las condiciones de servicio de la herramienta y si no

está de acuerdo con la misma buscar otras plataformas que se adapte a sus
necesidades

• Además, recomendamos la lectura del mensaje emitido por la empresa Zoom sobre
los temas relacionados con vulnerabilidades de la plataforma
https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

Referencias
https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-
online-classroom-hijacking-during-covid-19-pandemic

https://www.us-cert.gov/ncas/current-activity/2020/04/02/fbi-releases-guidance-defending-against-vtc-
hijacking-and-zoom

https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

https://blog.checkpoint.com/2020/03/26/whos-zooming-who-guidelines-on-how-to-use-zoom-safely/

En caso de alguna duda o consulta, se pueden comunicar al CSIRT-CR por medio

del correo electrónico csirt@micitt.go.cr
Firmado digitalmente
por JORGE EMILIO
MORA FLORES (FIRMA)
Fecha: 2020.04.03
08:54:25 -06'00'
_____________________________
_____________________________
Firmado digitalmente por
ROBERTO PAULO LEMAITRE
PICADO (FIRMA)
Ubicación: CSIRT-CR
Fecha: 2020.04.03 09:09:03
-06'00'
____________________________
____________________________

Jorge Mora Flores Roberto Lemaitre Picado

Director de Gobernanza Digital Coordinador CSIRT-CR

CSIRT-CR Página 1 de 1