Skype, el sitio de los ciberdelincuentes para espiar a los usuarios
Microsoft confirmó que el problema lo solucionará en una futura actualización
Cómo realizan el ataque y qué implicaciones tiene
A través de un sencillo truco, los hackers pueden obtener la dirección IP de un usuario de Skype, lo que potencialmente revela su ubicación física general.
Para que se haga efectivo el ataque, el usuario no necesita hacer clic en un enlace o interactuar de ninguna manera con el hacker más allá de abrir un mensaje.
Lo que hace muy sencilla la implementación de esta amenaza, que funciona de la siguiente manera: un ciberdelincuente envía un enlace a través de la aplicación móvil de Skype, y el destinatario al abrir el mensaje, sin darse cuenta, revela su dirección IP al atacante.
La precisión para encontrar a la persona aumentaría si se encuentra en entornos densamente menos poblados y hay menos usuarios compartiendo una misma dirección IP.
Qué ha dicho Microsoft al respecto
El descubrimiento de esta preocupante vulnerabilidad en Skype se atribuye a Yossi, el investigador de seguridad independiente, quien reportó el problema a Microsoft a principios de este agosto, proporcionando pruebas sólidas de la vulnerabilidad, incluyendo correos electrónicos y reportes de errores compartidos con 404 Media, una organización de medios.
Sin embargo, en la respuesta inicial de la empresa no se le dio mayor importancia a la situación. En un correo electrónico, la compañía afirmó que “la divulgación de una dirección IP no se considera una vulnerabilidad de seguridad por sí sola”.
Ante esto, la empresa afirmó que la vulnerabilidad no requería un servicio inmediato y no indicó de su intención de corregir el problema de inmediato. Fue solo después de que 404 Media contactó a Microsoft para obtener comentarios sobre el asunto que la compañía anunció planes para lanzar una corrección a la vulnerabilidad en una actualización futura.
“Apreciamos el trabajo de este investigador de seguridad en la identificación y presentación responsable de sus hallazgos. Hemos determinado que este informe no cumple con el umbral para un servicio inmediato según nuestras pautas de clasificación de severidad, basándonos únicamente en la exposición de una dirección IP. Sin embargo, abordaremos este problema en una futura actualización del producto como una mejora de defensa en profundidad para ayudar a mantener a los clientes protegidos”, dijo un portavoz de la compañía.
Aunque Microsoft se ha comprometido a abordar la vulnerabilidad en una futura actualización, no se ha proporcionado un plazo concreto para cuándo los usuarios pueden esperar esta corrección. Además, se aclaró que esta situación no afecta a Skype.
En este momento, la vulnerabilidad sigue presente, por lo que es importante no abrir mensajes de personas desconocidas o sospechosas en Skype, hasta que no haya un reporte que confirme la corrección de la situación, porque solo con abrir la conversación se efectúa el ataque.