Skype es el servicio mensajería instantánea y voz por Internet más popular. Hay momentos en los que reúne a más de 40 millones de usuarios en línea. Desde el año pasado, pertenece a Microsoft. Ahora acaba de descubrirse una vulnerabilidad que afecta a su sistema de recuperación de contraseñas. El agujero de seguridad permite que cualquier atacante que conozca la dirección de correo electrónico del usuario pueda comprometer la cuenta. Para cambiar la contraseña, el sistema pide que se introduzca el e-mail. Luego, el sistema envía por correo electrónico una clave temporal de acceso que sirve para cambiar la contraseña en un servidor seguro.
Esto está pensado para los internautas olvidadizos. Sin embargo, este domingo día 11 de noviembre aparecía publicado un método para explotar esa vulnerabilidad en diversos foros rusos. Con sólo seis sencillos pasos, era posible conseguir el acceso completo a cualquier cuenta de Skype; bastaba con conocer el e-mail primario de dicha cuenta, el que se introduce durante el registro. Skype comprueba las direcciones de correo electrónico cada vez que se crea una cuenta nueva. Después, ese mismo buzón de correo electrónico vale para abrir nuevas cuentas. Cuando un atacante intenta crear una nueva cuenta con un e-mail que ya figura en la base de datos de Skype, entra directamente en la cuenta preexistente.
El agujero de seguridad impide ver los contactos, consultar el historial de mensajes y otros datos. Sin embargo, concede un control completo sobre la cuenta, porque Skype enlaza automáticamente todas las cuentas registradas bajo el mismo e-mail. El sistema de recuperación de contraseñas envía la clave temporal para cambiar la contraseña en todo Skype. Como todas las cuentas están enlazadas, el atacante puede modificar la contraseña de la cuenta original, dejando fuera al usuario legítimo.
Ayer, martes día 14 de noviembre, Skype se ponía en marcha y, primero, como precaución, desactivaba el sistema de recuperación de contraseñas. Más tarde, volvía a restablecerlo, después de haber tapado el agujero de seguridad. Gracias a la modificaciones introducidas, ahora el sistema no envía la clave temporal al e-mail que introduce el atacante. Los responsables de la compañía han dado explicaciones sobre este incidente y han pedido disculpas. Igualmente, han señalado que conocieron el problema el martes por la mañana. Según la compañía, el problema afecta a “usuarios con múltiples cuentas de Skype registradas bajo la misma dirección de e-mail”.
No es el único incidente de seguridad que la compañía ha sufrido en los últimos meses. A principios de octubre, salta la noticia sobre un gusano para Skype que secuestraba el ordenador y exigía el pago de un rescate para liberarlo. La ambición de los ciberdelincuentes que lo explotaban iba más allá de recaudar dinero por los rescates. Las máquinas infectadas servían para ejecutar fraudes de clics con anuncios de Internet. También es conocida la exposición de los usuarios de Skype a las escuchas ilegales, según Privacy International.