Un fallo de seguridad permite el robo de la cuenta Outlook

Escrito por Claudio Valero
Software

No hay duda de que Outlook, el renovado servicio de correo de Microsoft, ha entrado en escena con una apuesta destacada que ha creado gran expectación entre los usuarios. Sin embargo, los primeros problemas de seguridad han comenzado a aparecer y se ha detectado que robando una cookie se puede iniciar sesión sin conocer el usuario ni la contraseña.

Nuestros compañeros de RedesZone se hacen eco del descubrimiento de un grupo de investigadores acerca de la seguridad de Outlook, el servicio de correo anunciado por Microsoft recientemente.  El experimento realizado por estos investigadores consiste en descargar un complemento del navegador que permite importar y exportar las cookies de las páginas visitadas. Pues bien, si las importamos desde otro navegador de otro ordenador diferente accederemos a Outlook, y veremos que está dentro de la sesión iniciada en el otro navegador.

En detalle, el problema de seguridad viene por la decisión de los de Redmond de utilizar una única cookie para realizar todas las acciones del servicio. Esta cookie se encarga de iniciar sesión, finalizarla y almacenar la información privada de los usuarios. En principio debería desaparecer al cerrar la sesión pero no está siendo así. Esto motiva que pueda ser robada y utilizada para iniciar sesión sin necesidad de conocer el usuario y contraseña. Más preocupante es el hecho de que cualquier malware que tengamos instalado, pueda enviar esta cookie y que así roben nuestra cuenta.

Hasta el momento de redacción de esta noticia el fallo aún no había sido corregido por Microsoft, pese a que la compañía ha sido informada por varios medios de contacto. De momento debido a que las credenciales son trasmitidas por el protocolo HTTPS no se podría realizar ninguna modificación sobre la cuenta, como cambiar la contraseña. Actualmente no entraña un riesgo para los usuarios, pero de no corregirlo, puede conllevar la generación de problemas adicionales.

Esperamos que Microsoft reaccione pronto y solucione el problema, que podría desencadenar en el robo de la cuenta si no se arregla a tiempo. Algunos expertos recomiendan borrar las cookies cuando no estemos utilizando el servicio hasta que el problema se solucione. Estaremos atentos a más noticias acerca de este agujero de seguridad de Outlook.

Fuente > ADSLZone

Continúa leyendo
Comentarios
11 comentarios
  1. Islander 18 Dic, 12 10:17 am

    Y todo eso sin comprobar la la identidad del equipo físico? Pues no debería ser muy difícil modificar el cookie para que incluya información de rastreo de hardware, y así resuelven el problema. Si además habilitamos el aviso por móvil, el sistema debería avisar cuando alguien se conecta desde un equipo que no está en la lista de equipos de confianza.

    Ahora, como a mi no me pagan por mejorar su seguridad…. pues que se lo curren ellos.

  2. Anónimo
    Usuario no registrado
    18 Dic, 12 2:26 pm

    una única cookie para realizar todas las acciones del servicio?

    tanto lo han simplificando que se combierte en todo un problemon.

    esta simplicidad se incorporo en Windows 8 y se combirtio en todo un problemon.

    esta empresa tiene hoy tantos problemas sin resover que aun no se como quien esta al frente no se a ido aun.

  3. bitarin 18 Dic, 12 2:53 pm

    Pues yo el robo no lo acabo de ver por ningún sitio.
    “De momento debido a que las credenciales son trasmitidas por el protocolo HTTPS no se podría realizar ninguna modificación sobre la cuenta”
    Más bien se trata de un caso de espionaje XD

  4. Anónimo
    Usuario no registrado
    18 Dic, 12 5:15 pm

    Pues no veas.
    Usar Outlook desde un Galaxy S3 es como ir a echar un pitillo despues de ducharse en gasolina.