El investigador Vsevolod Kokorin afirma que informó en privado al departamento de seguridad del gigante tecnológico sobre la falla, pero al no recibir la atención que esperaba decidió denunciarla públicamente a través de su cuenta de X.
Un investigador especializado en cuestiones de ciberseguridad, ha puesto en jaque la reputación de Microsoft tras revelar una vulnerabilidad que permite a cualquiera hacerse pasar fácilmente por cuentas de correo electrónico corporativas de Microsoft, lo que permite a los hackers realizar ataques de phishing más creíbles y por ende efectivos.
Divulga públicamente el error de seguridad tras no ser atendido por Microsoft
La falla fue identificada por Vsevolod Kokorin, un especialista en ciberseguridad de SolidLab, quien también es conocido en redes sociales como Slonser. A través de una publicación en su cuenta de X, Kokorin señaló que hace una semana reportó la falla de seguridad vía email directamente al departamento de seguridad de Microsoft.
Pese a lo anterior, la compañía negó el problema en múltiples ocasiones, incluso después de que el pasado 15 de junio Kokorin les envió pruebas contundentes de la brecha de seguridad, incluyendo un video de él mismo falsificando un correo y explicando cómo fue que logró hacerlo, el investigador optó por hacer público el error de la compañía mediante su cuenta de X.
Además de su publicación en la red social de Elon Musk, con el fin de darle una mayor difusión a su denuncia y al mismo tiempo demostrar que el error de seguridad es fácil de explotar, Kokorin envió un correo electrónico al portal de noticias tecnológicas, TechCrunch, haciéndose pasar por una cuenta corporativa de Microsoft pero explicando que en realidad era él, explotando la vulnerabilidad.
Cabe destacar que ni en su cuenta de X, ni en el email que envió a TechCrunch, Kokorin divulgó algún detalle técnico de la vulnerabilidad y recalcó que no lo hará hasta que Microsoft solucione el problema. Esto para evitar darles a los hackers una especie de guía que les ayude a explotar el error de seguridad del gigante del software.
¿Por qué hacer publica la falla de seguridad?
Tras revelar el problema de ciberseguridad de Microsoft, el investigador de SolidLab se mostró sorprendido por el alcance que ha tenido su denuncia. “No esperaba que mi publicación obtuviera tal reacción. Honestamente, solo quería compartir mi frustración porque esta situación me entristeció”, declaró Kokorin.
Adicionalmente aclaró que su intención es simplemente presionar a Microsoft para que resuelva la falla y al mismo tiempo demostrar la importancia de que las empresas realmente tomen en serio las denuncias de los especialistas.
“Mucha gente me malinterpretó y piensa que quiero dinero o algo así, pero les aseguro que no va por ahí. En realidad, solo quiero generar conciencia para que las grandes empresas como Microsoft no ignoren a los investigadores y sean más amigables con nosotros cuando lo único que intentamos es ayudarlos”, mencionó al respecto.
El lado positivo del error que permite a cualquier persona hacerse pasar fácilmente como empleado de Microsoft, es que solo funciona cuando se envía un correo electrónico a cuentas de Outlook. Aun así, según el último informe de la compañía hay al menos 400 millones de usuarios activos en todo el mundo, mismos que estarían en riesgo de sufrir un ataque de phishing impulsado por la falla expuesta por Kokorin.
Finalmente, el investigador declaró que no sabe si alguien más ha descubierto el error y lo ha explotado maliciosamente. No obstante, confía en que Microsoft se movilice para solucionar la falla y evitar que los usuarios de Outlook sean víctimas de un ciberataque.
