En un avance significativo para los investigadores forenses digitales, una nueva investigación ha revelado métodos integrales para descifrar las bases de datos de Zoom Team Chat, exponiendo potencialmente las comunicaciones y actividades confidenciales de los usuarios.
A medida que las organizaciones de todo el mundo continúan confiando en Zoom para la colaboración remota, estos hallazgos resaltan importantes consideraciones de seguridad para los aproximadamente 300 millones de usuarios diarios de la plataforma.
Zoom Team Chat emplea un sofisticado sistema de cifrado que utiliza SQLCipher con parámetros personalizados (tamaño de página 1024 e iteraciones KDF configuradas en 4000) para proteger las conversaciones de los usuarios.
Según el experto forense Muhammad Haidar Akita Tresnadi, Zoom almacena los datos de su aplicación en dos bases de datos cifradas críticas:
Base de datos principal (zoomus.enc.db): ubicada en C:\Users$$nombre de usuario]\AppData\Roaming\Zoom\data\
Base de datos específica del usuario (zoomus.async.enksdb): almacenada en C:\Users$$username]\AppData\Roaming\Zoom\data\<XMPP JID>\
«Esta configuración de claves en capas hace que el análisis de los datos de Zoom Team Chat sea más complejo que los datos de las aplicaciones típicas», dijo el investigador.
El proceso de descifrado requiere la obtención de múltiples elementos criptográficos:
- main_key: obtenido de una cadena protegida por DPAPI en el archivo zoom.us.ini
- kwk (clave de ajuste de clave): una clave del lado del servidor única para cada usuario
- user_key: Derivada a través de una serie de operaciones criptográficas
El siguiente código Python demuestra la derivación final de user_key:
Un descifrado exitoso puede revelar extensas actividades del usuario, que incluyen:
- Historiales completos de mensajes de chat
- Información de la cuenta de usuario (direcciones de correo electrónico, nombres de usuario)
- Listas de contactos y datos de relaciones.
- Registros y metadatos de intercambio de archivos
- Detalles de participación en la reunión
Si bien Zoom ofrece cifrado de chat avanzado (ACE) como capa de seguridad adicional, tiene limitaciones importantes.
Cuando ACE está habilitado, “las claves son generadas por el dispositivo del usuario y se comparten solo con los dispositivos de los demás participantes del chat”. Sin embargo, esto restringe funciones que incluyen el archivado de mensajes, la prevención de pérdida de datos y las capacidades de inteligencia artificial.
«Dado que la clave de cifrado sólo se almacena en los dispositivos de los destinatarios, Zoom tampoco puede ayudar con la recuperación», según la documentación de soporte de Zoom.
La capacidad de descifrar Zoom Team Chat tiene implicaciones sustanciales tanto para el análisis forense digital legítimo como para los posibles riesgos de seguridad.
Las organizaciones deben ser conscientes de que las comunicaciones pueden recuperarse mediante métodos forenses, incluso cuando se utilizan las funciones de cifrado de Zoom.
Los expertos en seguridad recomiendan que las organizaciones implementen:
- Controles de acceso de usuarios adecuados
- Autenticación multifactor
- Auditorías periódicas de seguridad de las plataformas de comunicación.
- Políticas claras sobre el intercambio de información confidencial
Dado que el trabajo remoto sigue siendo una práctica estándar, comprender la arquitectura de seguridad de las plataformas de comunicación como Zoom se vuelve cada vez más crucial para mantener la protección de los datos organizacionales.
