Solucionada la vulnerabilidad de Skype que permite robar contraseñas

Hace unos pocos días Microsoft informaba de su decisión después de adquirir la conocida plataforma para hacer videollamadas por Internet Skype que cuenta con alrededor de 280 millones de usuarios de fusionarla con el ya clásico servicio de mensajería Windows Live Messenger, con un estimado de 360 millones de usuarios activos mensuales, de los cuales se estima 135 millones están en América Latina. Después de todos estos anuncios Skype vuelve a estar en el centro de la noticia después de reconocer la vulnerabilidad existente en la plataforma que permitía cambiar la contraseña de otras cuentas y tomar el control de la misma, para utilizar el crédito o para suplantar la identidad.

Para aprovechar la vulnerabilidad, que ya fue resuelta por Microsoft, sólo se requería conocer la dirección de correo electrónico de la vícitma. Aprovechando la característica que tiene Skype de que se pueden asociar diferentes nombres de usuario a una sola dirección de correo electrónico, se podía establecer sesión con un nombre de usuario alterno asociado a una dirección de correo particular y pedir restablecer la contraseña utilizando esta misma dirección.

La vulnerabilidad, que apareció publicada en un blog ruso, consistía en que todos los usuarios asociados a la misma cuenta de correo electrónico, si estaban utilizando la aplicación podrían ver la notificación de la solicitud de cambio de contraseña y por tanto hacer el cambio sin necesidad de tener acceso a la cuenta de correo. Durante algunas horas el sistema de restablecimiento de contraseñas de Skype fue desactivado para mitigar los ataques que pudieran aprovechar dicha vulnerabilidad.

Otros problemas similares asociados con una vulnerabilidad de autenticación diferente fueron informados a Microsoft el pasado mes de octubre por parte de Vulnerability Lab. Además se han registrado campañas de Dorkbot que se propaga a través de Skype simulando fotos.

En este caso después de toda la información publicada es muy probable que algunas cuentas pudieran verse comprometidas. Cómo medida preventiva lo más recomendable es que los usuarios de esta plataforma cambien su contraseña. Y en este proceso, pueden verificar si hay otros nombres de usuario asociados a su misma cuenta de correo electrónico.

El crecimiento en el uso de aplicaciones que combinen características de comunicación por video, voz y mensajes escritos ha crecido en los últimos años, y más con el desarrollo que han tenido los dispositivos móviles y las redes celulares que ofrecen cada vez mayores velocidades de transmisión de datos. Debido a este comportamiento del mercado, es pertinente esperar que cualquier tipo de vulnerabilidad o amenaza que esté orientada a este mercado tenga gran impacto. Por lo tanto lo más recomendable es que los usuarios conozcan y estén atentos a las vulnerabilidades que pudieran afectar sus dispositivos y las aplicaciones que utilizan. Desde ESET Latinoamérica se ofrece acceso a nuestra Plataforma Educativa en la que se pueden encontrar contenidos gratuitos que van desde el manejo seguro de de transacciones comerciales hasta cursos para armar redes WiFi seguras.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Autor , ESET

Síguenos