Noticias
Descubrir un fallo de seguridad en Outlook vale 24.000 dólares
Los fallos de seguridad en el correo electrónico pueden causar muchos quebraderos de cabeza. Cada cierto tiempo se descubre uno realmente grave, que en muchos casos puede desembocar en robo de información, envío de spam o pérdida completa del control del correo. Como la que descubrió este verano el experto en seguridad Wesley Wineberg en el sistema de autenticación de Live.com, que permite a un hacker conseguir el control de una cuenta de Outlook.
Wineberg, que tras su descubrimiento avisó a Microsoft del fallo sin darle más publicidad, ha recibido una recompensa de 24.000 dólares. Por su parte, Microsoft, que cuenta con un programa de recompensa a los que le comunican este tipo de problemas, ya ha resuelto el problema de seguridad.
Para demostrar la existencia del problema, Wineberg analizó el tipo de acceso que Outlook daba a otras apps, a través del popular sistema de autenticación OAuth. Con dicho sistema, para ganar acceso a determinados servicios y elementos de una aplicación o servicio, se pregunta a su propietario si desea que una app tenga permiso para hacerlo, y mientras que no se responde afirmativamente, no cuenta con permiso.
Mientras lo llevaba a cabo, descubrió que bastaba con crear una app con un mecanismo que permitiese saltarse este sistema de identificación para conseguir acceso a Outlook y engañar al usuario afectado para visitar una web para que esa app consiguiese acceso a todo lo almacenado en la cuenta, desde los mensajes de correo hasta las direcciones de la agenda.
En esencia, se trata de una vulnerabilidad bastante conocida entre los expertos en seguridad online (Cross-site request forgery, que quiere decir Petición de falsificación de sitios cruzados). Lo más habitual es que el ataque efectuado a través de este tipo de brecha de seguridad termina si el usuario legítimo del servicio se desconecta del mismo, pero en el caso de Outlook no es así, y los atacantes que la explotasen obtendrían acceso permanente a la cuenta.
Pero ese no es el único problema, ya que un atacante con cierta experiencia podría servirse de esta vulnerabilidad para generar un gusano convencional que ataca al email muy similar a los que solían aparecer en décadas pasadas. Con este tipo de gusano, tal como ha declarado Wineberg a Forbes, «después del ataque a la primera víctima, esta vulnerabilidad puede utilizarse para enviar un mensaje de correo electrónico a todos sus contactos, con un enlace que también pondría en peligro las cuentas de dichos usuarios.» Así, el gusano podría expandirse y atacar a nuevos usuarios que hagan clic en dicho link.
Wineberg, que descubrió la vulnerabilidad en su tiempo libre, no sabe durante cuánto tiempo habrá afectado a Outlook. Tampoco es consciente de que alguien haya tratado de utilizarla. De lo que sí está seguro, tal como afirma en un post en el blog de Synack, es de que «descubrimientos como este son los que muestran la utilidad de permitir a investigadores externos enviar las vulnerabilidades que descubran a las empresas antes de que los atacantes las usen contra ellas. Microsoft está mucho más adelantada que la mayoría de empresas en lo que se refiere a la seguridad, y aun así sigue estando expuesta a problemas como este. La experiencia de Synack demuestra que aparecen vulnerabilidades ocultas incluso en sistemas que, aparentemente, son seguros. Basta con que un equipo de expertos externos hagan pruebas en él».
Más problemas en la UE para Google y Apple: incumplen la Ley de Mercados Digitales
La inversión en ciberseguridad crecerá por encima del 12% en 2025
Más despidos en IBM: la división más afectada, Cloud Classic
NVIDIA anuncia las gráficas profesionales, RTX PRO 6000 Blackwell
Meta AI se despliega en Europa
El Congreso Aslan 2025 se revalida como evento TI referente con representación pública y privada
OpenAI va a lanzar GPT 4.5 con GPT 5 casi a punto, y Microsoft está listo para ambos
«La ciberseguridad no es sólo una cuestión de TI, es una prioridad empresarial»
Upskilling y Reskilling: Claves para el futuro del talento IT y la competitividad empresarial
Steve Jobs, el impacto de un visionario en la tecnología mundial
Humane vende activos a HP y dice adiós al «revolucionario» AI Pin
Microsoft anuncia Majorana 1 y predice ordenadores cuánticos «útiles» en 2035
Más problemas en la UE para Google y Apple: incumplen la Ley de Mercados Digitales
Upskilling y Reskilling: Claves para el futuro del talento IT y la competitividad empresarial
Colt facilitará la conectividad para empresas en zonas de acceso complicado con Managed LEO+
«La ciberseguridad no es sólo una cuestión de TI, es una prioridad empresarial»
Nokia pisa el acelerador y cerrará antes de fin de mes la compra de Infinera
SIA colaborará para formar a estudiantes del Grado en Ciberseguridad de la Universidad de Barcelona
-
EventosHace 7 díasGTC 2025, llegan las novedades de NVIDIA
-
NoticiasHace 4 díasLos PCs con IA que se utilizarán en las empresas en 2028 serán el 94% del total
-
NoticiasHace 3 díasHuawei dirá adiós a Windows y apostará por HarmonyOS NEXT y Linux para sus PCs
-
NoticiasHace 4 díasLa IA no reemplazará a los programadores, asegura el CEO de IBM