Una brecha de seguridad de los correos corporativos de Microsoft facilita las falsificaciones
Las cuentas de correo electrónico de empleados de Microsoft albergan un error que da pie a falsificaciones. Un investigador asegura que los intentos de phishing parecen más realistas debido a la brecha y lo ha puesto a prueba enviando un falso email de lo que parecía el equipo de seguridad de la empresa tecnológica.
Según Vsevolod Kokorin, conocido en X (Twitter) como Slonser (@slonser), es muy fácil suplantar la identidad de un correo corporativo de Microsoft. Eso se debe a una vulnerabilidad que él mismo detectó e informó a la empresa para que lo corrigiera. Sin embargo, Microsoft desestimó su informe después de asegurar que no podía reproducir sus hallazgos.
Supuestamente, Slonser compartió con Microsoft que el error permitía «enviar un mensaje desde cualquier usuario@dominio«. Desde la empresa, le informaron que no podían reproducirlo y, pese a que el experto demostrase cómo hacerlo a través de un vídeo, no dieron ninguna solución.
Ante la aparente indiferencia de Microsoft, el experto en ciberseguridad consideró necesario publicar el fallo detectado en X. Por supuesto, Slonser no compartió ningún detalle técnico para evitar que otros usuarios con malas intenciones lo reprodujesen y simplemente buscaba alertar a sus seguidores para que no cayesen en la trampa de posibles malhechores y compartir la estresante conversación con Microsoft, que no había dado los frutos esperados.
slonser@slonser_I want to share my recent case:
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. https://t.co/mJDoHTn9Xv19 de junio, 2024 • 12:11
904
5
En la publicación de Slonser, se puede ver cómo pudo enviarse un mensaje a sí mismo con una cuenta de correo llamada Microsoft Security <security@microsoft.com>. Esta parece bastante creíble, por lo que cualquier usuario podría caer en la trampa si un ciberdelincuente le escribiese. Bastaría con preocupar a la víctima con actividades sospechosas detectadas en su cuenta para que esta diese sus credenciales.
Un error que funciona con cuentas Outlook
Slonser ha comprobado que la vulnerabilidad únicamente funciona con las cuentas de Outlook, que es el servicio de correo electrónico de Microsoft. Es decir, los usuarios de Gmail y otras plataformas de emails están a salvo. No obstante, eso no significa que sea menos preocupante, ya que Outlook cuenta con más de 400 millones de consumidores en el mundo, según el último informe de ganancias de la compañía.
Aunque Microsoft no haya hablado todavía del tema, parece que sí que podría haber una solución muy pronto. Después del post en X y de que más de 110.000 personas lo hayan visto, parece que Microsoft ha comenzado a actuar. «Es posible que Microsoft haya notado mi tweet porque hace unas horas reabrieron uno de mis informes que había enviado hace varios meses», ha respondido el experto al medio de comunicación TechCrunch. Pero, de momento, la vulnerabilidad parece que continúa existiendo.
Con respecto a la reacción de la gente, Slonser asegura que no la esperaba: «Solo quería compartir mi frustración porque esta situación me entristecía». Además, comparte que muchas personas han malinterpretado sus intenciones y piensan que quiere dinero o algún tipo de recompensa. Sin embargo, el experto en seguridad comenta que nada está más lejos de la realidad y afirma que únicamente quiere «que las empresas no ignoren a los investigadores y sean más amigables cuando intenten ayudarlos».
En la actualidad, se desconoce si algún usuario ha conseguido llegar al mismo punto de Slonser y ha engañado a otros individuos. Por las noticias que se han publicado hasta la fecha, nadie ha suplantado la identidad de Microsoft de esta manera para realizar ciberestafas. A pesar de ello, conviene extremar precauciones si nos llega un correo de seguridad de la tecnológica. Cuando la empresa detecta actividades sospechosas, te recomendará cambiar tu contraseña desde el perfil y, si te ofrece enviar un email de vuelta con tus datos actuales o algo similar a través de una página web, deberías borrar el mensaje automáticamente.