Un investigador ha identificado una vulnerabilidad que permite a alguien asumir identidades de cuentas corporativas de email de Microsoft, volviendo los ataques de phishing más creíbles y probablemente más exitosos.
A día 15 de Junio de 2024, aún no se había resuelto la vulnerabilidad. Para ilustrar el problema, el investigador envió un email a GQ Informática que aparentaba ser del equipo de seguridad de Microsoft.
Vsevolod Kokorin, conocido en línea como Slonser, reportó la semana pasada en X (previamente Twitter) que había descubierto el error de suplantación de identidad por correo electrónico y se lo notificó a Microsoft. Sin embargo, la compañía ignoró su reporte argumentando que no pudieron replicar los hallazgos. Como resultado, Kokorin decidió revelar la vulnerabilidad en X, pero sin compartir detalles técnicos que podrían permitir a otros aprovecharla.
«Microsoft simplemente comentó que no podía replicar el error sin aportar más información», relató Kokorin a un medio inglés. «Se podría pensar que Microsoft se percató de mi tweet debido a que reabrieron hace poco uno de los informes que había presentado hace varios meses».
De acuerdo con Kokorin, el error solo tiene efecto al mandar correos electrónicos a cuentas de Outlook. No obstante, esto implica un conjunto de al menos 400 millones de usuarios globalmente, de acuerdo con el más reciente informe de resultados de Microsoft.
Kokorin mencionó que su último acercamiento con Microsoft fue el 15 de junio. Microsoft no dio respuesta el martes a la petición de declaraciones de GQ Informática.
«No anticipaba que mi mensaje tuviera tal impacto. Sinceramente, solo deseaba expresar mi frustración ante esta situación que me angustiaba», relató Kokorin.
«Muchas personas me han interpretado erróneamente, pensando que busco lucro o algo similar. En realidad, simplemente deseo que las empresas no ignoren a los investigadores y muestren más consideración al tratar de ayudarles».
Actualmente se desconoce si alguien más además de Kokorin ha descubierto esta falla o si ha sido utilizada con malas intenciones.
A pesar de que por ahora se desconoce la magnitud de esta vulnerabilidad, Microsoft ha experimentado una serie de problemas de seguridad en años recientes, lo que ha resultado en investigaciones tanto por parte de entidades reguladoras federales como por legisladores del Congreso.
La semana pasada, el presidente de Microsoft, Brad Smith, compareció en una audiencia ante la Cámara de Representantes luego de que China accediera a servidores de Microsoft y sustrajera un conjunto de correos electrónicos del gobierno federal de EE. UU. en 2023. Durante la comparecencia, Smith se comprometió a intensificar los esfuerzos en materia de ciberseguridad en la compañía tras una serie de incidentes vergonzosos en materia de seguridad.
Meses antes, en enero de ese mismo año, Microsoft confirmó que un grupo de hackers vinculado al gobierno ruso había ingresado en cuentas de email corporativas de Microsoft para robar información sobre lo que sabían los altos directivos de la empresa.
