Advierten sobre nueva amenaza para los usuarios de Windows

Los expertos de la firma de seguridad informática Kaspersky advirtieron sobre una nueva estafa que utiliza Windows Live ID, o sea la dirección de correo electrónico y la contraseña, como carnada para obtener información personal almacenada en perfiles de clientes de servicios como Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger y OneDrive.

La metodología del engaño tiene que ver con lo que caracterizan como un phishing "honesto", en que los usuarios reciben advertencias por medio de un correo electrónico donde les explican que sus cuentas de Windows Live ID se han utilizado para distribuir correos electrónicos no solicitados, por lo cual sus cuentas serán bloqueadas.

Para detener la suspensión de sus cuentas, se les solicita a los usuarios que sigan un enlace y que actualicen sus datos para cumplir con los nuevos requerimientos de seguridad del servicio.

El enlace conduce a sitios falsos que imitan la página oficial de Windows Live, que recopila los datos de las víctimas y al mismo tiempo son enviados a los estafadores. Curiosamente, el link de la estafa efectivamente sí enlazaba con el sitio oficial de Windows Live; en donde no había ningún intento aparente de obtener los nombres de usuario y las contraseñas de las víctimas.

Pero la situación tiene otra vuelta: una vez que se autoriza con éxito la cuenta en el sitio oficial de live.com, los usuarios reciben un mensaje del servicio, en el que una aplicación solicita permiso para iniciar sesión de forma automática, ver la información del perfil y la lista de contactos; así como tener acceso a la lista de los datos personales del usuario y las direcciones de correo electrónico de su trabajo.

Según los expertos de Kaspersky, los estafadores obtuvieron acceso a esta técnica a través de fallas de seguridad en el protocolo abierto de autorización, OAuth.  De esta manera, los usuarios que hacen click en "Sí" no revelan sus credenciales y contraseñas, pero sí proporcionan su información personal, las direcciones de correo electrónico de sus contactos y los seudónimos y nombres reales de sus amigos.

El analista principal de Contenido de la Web en Kaspersky Lab, Andrey Kostin, detalló que "hemos sabido de fallas de seguridad en el protocolo OAuth desde hace algún tiempo: a principios de 2014, un estudiante de Singapur describió las posibles formas de robar los datos de los usuarios después de una autenticación".

"Un estafador puede utilizar la información interceptada para crear una imagen detallada de los usuarios, la cual incluye información acerca de sus trabajos, a quiénes ven y quiénes son sus amigos, etc. Este perfil después se puede utilizar para propósitos delictivos", añadió Kostin.

Las consecuencias de esta estafa dicen relación con el envio de spam a los contactos de la lista de direcciones de las víctimas o lanzar ataques de phishing selectivo.