Hoy nos hemos despertado con la noticia de una grave vulnerabilidad en la conocida aplicación de mensajería y llamadas usando VoIP Skype. Según informaban las primeras fuentes, cualquier usuario podía hacerse con el control de cualquier cuenta con solo conocer la dirección de correo electrónico asociada.
No comprendemos cómo este grave fallo de seguridad ha podido pasar desapercibido tanto tiempo, más aun sabiendo que Microsoft compró este servicio hace unos meses. La manera de aprovechar esta vulnerabilidad en el registro y manejo de cuentas es realmente sencilla y solo se necesita seguir una serie de pasos para conseguir obtener acceso a la cuenta de otro usuario del cual conozcamos la dirección de correo electrónico que usó para darse de alta.
Básicamente, todo se reduce en generar una nueva cuenta usando la dirección de correo del usuario al que deseemos robar la cuenta. Desde la propia web de registro se nos avisará de que ya existe una cuenta creada con esa dirección de correo, pero se nos permitirá seguir adelante con el registro.
A partir de ahí, basta con acceder a la aplicación con la cuenta que acabamos de crear y, seguidamente, solicitar un cambio de contraseña. Por suerte, Microsoft y Skype han tomado cartas en el asunto de forma rápida y la web de cambio de contraseña se encuentra deshabilitada en el momento de escribir estas líneas. En el caso de que se pudiese seguir accediendo a ella, podríamos solicitar un cambio de contraseña usando el correo de la víctima.
El problema es que esta información no se envía únicamente a la víctima, sino también al cliente de mensajería de Skype, por lo que nosotros también recibiríamos una notificación del cambio de contraseña y una clave temporal en el cliente de Skype. En este punto tan solo deberíamos seguir el enlace proporcionado para robar definitivamente la cuenta de Skype cambiándole la contraseña de acceso.
Como ya hemos dicho, tanto Microsoft como Skype ya están manos a la obra para tratar de solucionar el problema, y posiblemente sea cuestión de horas que todo vuelva a la normalidad. No obstante, nunca está de más acceder a nuestra cuenta y cambiar la dirección de correo usada por otra que solo nosotros conozcamos.