Hace tiempo que el trabajo realizado por investigadores independientes ayudan a descubrir graves vulnerabilidades en aplicaciones usadas por muchos usuarios. Dejando de lado el debate sobre si el resultado de estas investigaciones debería hacerse público, venderse o ser ofrecido a las empresas afectadas para que puedan solucionar estos graves fallos, la realidad es que se ha conseguido generar un flujo constante de publicación de vulnerabilidades que provoca que las empresas desarrolladoras de software y servicios se tomen la seguridad mucho más en serio que hace unos años.
Un ejemplo de este trabajo de investigación es el realizado por Shahin Ramezany, quien desarrolló una prueba de concepto de un ataque XSS en Yahoo Mail, que, de haber sido usada de forma malintencionada habría podido llegar a afectar a 400 millones de usuarios. Este investigador hizo público un vídeo en el que se puede observar cómo, usando un enlace malicioso, una herramienta de pen-testing, un complemento del navegador Chrome y un poco de ingeniería social, toma el control de una cuenta de Yahoo Mail.
De la metodología usada en el vídeo podemos deducir que, en el caso de que un ciberdelincuente quisiera haberse aprovechado de esta vulnerabilidad podría haber organizado una campaña de propagación de spam entre usuarios de Yahoo Mail para intentar convencerlos de que pulsen en un enlace malicioso y, seguidamente, obtener acceso a sus cuentas.
Tras la publicación de esta prueba de concepto, Yahoo! reaccionó rápidamente y la solucionó. Asimismo, anunciaron que se encontraban investigando informes recientes que indicaban un tráfico abusivo y que seguirían trabajando para solucionar cualquier vulnerabilidad que encontrasen. De cualquier forma, recomendaban a aquellos usuarios que estuviesen preocupados por la seguridad de sus cuentas que cambiasen las contraseñas.
A pesar de esta rápida respuesta, a nosotros nos queda la duda de si la misma reacción se hubiese producido si Yahoo! hubiera sido informado de forma privada y sin hacer publicos detalles de esta vulnerabilidad. Este es un debate abierto desde hace tiempo con muchos simpatizantes y detractores pero, como usuarios, lo que debe interesarnos es que los parches que solucionan agujeros de seguridad se publiquen lo antes posible.