• Tweet

Este martes Microsoft arreglo un bug en su registro de Windows Live ID que permitía a usuarios engañosos registrar una falsa dirección de correo electrónico.

El correo electrónico falso podía entonces ser usado como un ID del programa de Live Messenger de Microsoft, el cual podría engañar a un usuario quien podría pensar estar hablando con alguien que no es quién parece ser.

Eric Duindam, desarrollador Web de Leiderdorp, de los Países Bajos, reporto el problema a Microsoft este lunes. Microsoft reconoció que había arreglado el bug, pero no tenía información adicional sobre el impacto de la falla.

Es incierto cuanto tiempo el defecto pudo haber existido o cuantas cuentas engañosas se habían podido crear. Duindam dijo que un ID falso que había creado seguía activo la mañana del martes.

Si un usuario intenta crear un ID de Windows Live, Microsoft envía un correo electrónico con la confirmación a un correo electrónico ingresado por el usuario. Sin la confirmación, Microsoft incluye una advertencia con los mensajes futuros enviados por el mensajero instantáneo, que aparece como: fake@emailaddress(dirección de correo no verificada).

Sin embargo, las cuentas creadas el fin de semana con direcciones falsas de correo electrónico, seguían siendo activas este martes y no llevaban tal advertencia.

Un atacante podría utilizar el defecto como parte de un trabajo de ingeniería social, donde engañarían a los usuarios para hacer algo que pondría su máquina en riesgo. Por ejemplo, las victimas podrían recibir un mensaje inmediato de alguien que parece tener la dirección de correo electrónico de su jefe.

En este punto, las víctimas podrían ser engañadas al pensar que se están comunicando con su jefe. El hacker podría entonces enviar un documento de Word que incluyera código malicioso, que podría ser por ejemplo un keylogger el cuál almacena lo que escribe el usuario en la computadora.

Si las cuentas falsificadas siguen activas, Microsoft debe tratar de cerrarlas cuanto antes. Pero podría ser difícil especialmente si Microsoft no esta enterado del defecto y no puede seguir dando de bajas cuentas, dijo Chris Boyd, encargado mayor de la investigación en FaceTime Communications Inc., vía mensaje instantaneo.