Una falla en Microsoft Outlook para aplicaciones de Android y iOS puede significar que algunos dispositivos que manipulan datos corporativos estén haciendo caso omiso de las políticas de seguridad de los departamentos de TI.

Dirk Sigurdson, director de ingeniería en Mobilisafe de Rapid 7, informó el descubrimiento de la falla en un aviso de seguridad, advirtió que los actuales controles conocidos como Active Exchange no tendrán efecto alguno en los teléfonos inteligentes o tabletas que ejecutan las aplicaciones de iOS y Android.

"Una de las características de seguridad de uso general de Microsoft Exchange ActiveSync es la capacidad de definir políticas que limitan el acceso de correo electrónico a los dispositivos que no cumplan los requisitos mínimos de seguridad", decía el aviso.

"Por otro lado, Outlook para iOS y Android, que fueron liberados recientemente por Microsoft para Apple y Play Store, se comportan de manera muy diferente. Cualquier política ActiveSync definida en el servidor es completamente ignorada."

"Su compañía puede definir un código de acceso sofisticado o una política de cifrado que tendrá absolutamente ningún impacto en los dispositivos si este nuevo cliente de correo electrónico es utilizado por sus empleados."

Sigurdson añadió: "Si su organización depende de las políticas de ActiveSync, de algún modo debería bloquear inmediatamente el acceso ActiveSync a Outlook para iOS y Android."

Microsoft lanzó las aplicaciones de iOS y Android en enero. Pronto fueron etiquetados como "una pesadilla de seguridad", poco después de que el investigador de IBM René Winkelmeyer informó haber encontrado varias fallas.

No está claro si Microsoft es consciente del error. La empresa no respondió a la solicitud del sitio V3 para hacer comentarios hasta el momento de esta publicación.

Robert Miller, consultor senior de seguridad de MWR InfoSecurity, dijo que las fallas demuestran que las empresas no deben asumir que sus productos son seguros por diseño y deben ser más proactivos con sus estrategias de defensa.

"Las empresas deben tener cuidado al hacer suposiciones en torno a las características de seguridad de un producto", dijo. "En el caso de la aplicación móvil de Microsoft Outlook, Microsoft no hizo ninguna afirmación de que los dispositivos sigan las políticas de seguridad de ActiveSync cuando se instala la aplicación."

"Es importante que las empresas se tomen el tiempo para investigar la seguridad de los productos antes de usarlos."

"Esto podría hacerse, ya sea directamente planteando cuestiones a los desarrolladores de la aplicación o por medio de terceros que puedan investigar sobre la seguridad de los productos."

Outlook es uno de los muchos servicios populares que han sufrido fallas recientemente. Investigadores de Sucuri reportaron el hallazgo de una vulnerabilidad de día cero en WordPress que estaba siendo explotada por atacantes para infectar a miles de sitios web a principios de febrero.

Mientras tanto, tres vulnerabilidades de día cero que se sabe que han sido explotadas activamente por cibercriminales fueron encontradas en Adobe Flash.