Skype, el sitio de los ciberdelincuentes para espiar a los usuarios

Skype está siendo usada por los ciberdelincuentes para acceder a la dirección IP de los usuarios sin su consentimiento. A través de un mensaje que no requiere ningún tipo de interacción, sino solamente con abrir la conversación, se efectúa el ataque.

La vulnerabilidad fue descubierta por un investigador de seguridad independiente conocido como Yossi y ha dejado al descubierto una falla de seguridad en la aplicación de videollamadas de Microsoft, que informó que solucionará el problema en una futura actualización.

Cómo realizan el ataque y qué implicaciones tiene

A través de un sencillo truco, los hackers pueden obtener la dirección IP de un usuario de Skype, lo que potencialmente revela su ubicación física general.

Para que se haga efectivo el ataque, el usuario no necesita hacer clic en un enlace o interactuar de ninguna manera con el hacker más allá de abrir un mensaje.

Lo que hace muy sencilla la implementación de esta amenaza, que funciona de la siguiente manera: un ciberdelincuente envía un enlace a través de la aplicación móvil de Skype, y el destinatario al abrir el mensaje, sin darse cuenta, revela su dirección IP al atacante.

La explotación exitosa de esta vulnerabilidad tiene profundas implicaciones para la seguridad de los usuarios. En primer lugar, la dirección IP de un usuario revela información sobre su ubicación geográfica general. Aunque no proporciona detalles precisos de la ubicación, puede dar pistas sobre la ciudad o región en la que se encuentra el usuario. Lo que puede servir para encontrar a personas de alto perfil como activistas, periodistas y políticos.

La precisión para encontrar a la persona aumentaría si se encuentra en entornos densamente menos poblados y hay menos usuarios compartiendo una misma dirección IP.

Qué ha dicho Microsoft al respecto

El descubrimiento de esta preocupante vulnerabilidad en Skype se atribuye a Yossi, el investigador de seguridad independiente, quien reportó el problema a Microsoft a principios de este agosto, proporcionando pruebas sólidas de la vulnerabilidad, incluyendo correos electrónicos y reportes de errores compartidos con 404 Media, una organización de medios.

Sin embargo, en la respuesta inicial de la empresa no se le dio mayor importancia a la situación. En un correo electrónico, la compañía afirmó que “la divulgación de una dirección IP no se considera una vulnerabilidad de seguridad por sí sola”.

Ante esto, la empresa afirmó que la vulnerabilidad no requería un servicio inmediato y no indicó de su intención de corregir el problema de inmediato. Fue solo después de que 404 Media contactó a Microsoft para obtener comentarios sobre el asunto que la compañía anunció planes para lanzar una corrección a la vulnerabilidad en una actualización futura.

“Apreciamos el trabajo de este investigador de seguridad en la identificación y presentación responsable de sus hallazgos. Hemos determinado que este informe no cumple con el umbral para un servicio inmediato según nuestras pautas de clasificación de severidad, basándonos únicamente en la exposición de una dirección IP. Sin embargo, abordaremos este problema en una futura actualización del producto como una mejora de defensa en profundidad para ayudar a mantener a los clientes protegidos”, dijo un portavoz de la compañía.

Aunque Microsoft se ha comprometido a abordar la vulnerabilidad en una futura actualización, no se ha proporcionado un plazo concreto para cuándo los usuarios pueden esperar esta corrección. Además, se aclaró que esta situación no afecta a Skype.

En este momento, la vulnerabilidad sigue presente, por lo que es importante no abrir mensajes de personas desconocidas o sospechosas en Skype, hasta que no haya un reporte que confirme la corrección de la situación, porque solo con abrir la conversación se efectúa el ataque.