Por: Andrés Fiorotto [tw: @andresfiorotto] / MIE, 14 / NOV / 2012

Skype con una seria falla de seguridad que permite robar contraseñas

Una falla de seguridad envía al propio cliente de Skype el dato de usuario y contraseña cuando se solicita recuperarla, lo que permite que cualquiera con el programa instalado pueda obtener esa información en sólo 5 pasos.

Hace poco dábamos cuenta de la decisión de Microsoft de dejar de desarrollar Windows Live Messenger en favor de trasladar esas cuentas de mensajería a Skype. O sea, a diferencia de lo que la confusión popular hizo creer a muchos, no es que Microsoft da por finalizado el servicio de mensajería Messenger, sino lo que hace es cambiar de software: en vez de seguir desarrollando un programa exclusivo para éste, aprovechará a Skype -en su poder desde 2011- para integrar Facebook, las llamadas VoIP y Messenger en un único programa. Nada para asustarse, porque seguiremos en contacto con nuestros amigos de siempre (a pesar que es probable que hoy en día las redes sociales nos estén brindando una vía de comunicación más fluida).

Lo que sí es para preocuparse es el reciente fallo de seguridad descubierto en Skype, que permitiría que en apenas 5 pasos un “hacker” pueda hacerse con nuestra cuenta simplemente usando el sistema de recuperación de clave.

Según informa The Next Web, el agujero de seguridad es tan insólito como preocupante: cuando se inicia el trámite para la recuperación de la contraseña olvidada de la cuenta, el servicio solicita que ingresemos la dirección de e-mail con la que creamos la cuenta. Entonces se envía a esa casilla el recordatorio de usuario y contraseña para acceder. Hasta aquí todo bien y nada fuera de lo normal. El “problemita” es que a través del propio programa de Skype se puede obtener un Token con este mismo dato, sin necesidad de acceder a la casilla de correo. Por lo que cualquier usuario con Skype instalado y conocimiento de la dirección de correo electrónico que usamos para registrarnos, puede enterarse de nuestra contraseña a partir del propio programa.

Microsoft ya tomó nota del asunto y anunció que como medida  urgente suspendió momentáneamente el servicio de recuperación de contraseñas, al tiempo que están trabajando en resolver la falla que originó todo esto.

Por otro lado, y como medida adicional, están recomendando la creación de cuentas de Skype usando direcciones de e-mail que sean conocidas sólo por nosotros. De esta manera evitamos otorgarle al “atacante” el dato fundamental para esa recuperación de contraseña. Cabe destacar que esta es una estrategia que usan muchos usuarios: el crear una cuenta de correo exclusiva para registrarse en diferentes servicios, pero no para contactarse con la gente.

¡Comparte esta noticia!