Un nuevo bug podría ingresar a cuentas privadas de redes sociales y sustraer información

Gracias por Compartir

Un bug es un error o un defecto en el software o hardware que hace que un programa funcione incorrectamente. En los últimos días justamente se descubrió un bug de “redirección encubierta” que se encuentra en los populares protocolos OpenID y OAuth.
De acuerdo con información publicada por Kaspersky Lab, socio estratégico de GMS, empresa que brinda soluciones integradas de telecomunicaciones y seguridades en Ecuador, se dio a conocer el hallazgo de una peligrosa falla que, según explican los expertos, no es tan sencilla de solucionar. Se trata de un bug de “redirección encubierta”, cuya descripción fue publicada por Wang Jing, un estudiante de doctorado en Matemáticas en la Universidad Tecnológica de Nanyang, en Singapur.
Según detalló Jing, la falla se encuentra en los populares protocolos OpenID y OAuth. El primero de estos protocolos se utiliza al iniciar sesión en algún sitio web a través de las cuentas de redes sociales como Google, Facebook, LinkedIn, etc. El segundo, en cambio, entra en acción cuando se autoriza a los sitios, aplicaciones o servicios web a que accedan a los perfiles de Facebook, etc. Ambos protocolos suelen utilizarse de forma conjunta y, raíz de este bug, podrían llevar información confidencial hacia las manos equivocadas.

Según explica Kaspersky Lab, para encontrarse en una situación de peligro, el usuario tendría que ingresar en un sitio web phishing; es decir, destinado a delincuencia cibernética. Estos sitios se hacen pasar por servicios web populares que, generalmente, cuentan con los típicos botones de “ingresa con tu cuenta de Facebook”
De esta manera, los cibercriminales reciben la autorización (OAuthtoken) para acceder a los perfiles de redes sociales de las víctimas con cualquiera de los permisos que las aplicaciones originales tenían.
Lo más probable es que esta amenaza no desaparezca en el corto plazo, dado que el fix que solucionaría este bug tendría que ser implementado tanto por el proveedor (Facebook, Google, LinkedIn, etc) como por el cliente (las aplicaciones o los servicios). Además, el protocolo OAuth todavía se encuentra en fase beta y varios proveedores utilizan diferentes variaciones de este protocolo, lo cual altera las formas y las posibilidades de contrarrestar los posibles ataques.

Recomendaciones para los usuarios
Para los usuarios más precavidos: una solución muy útil sería dejar de utilizar los servicios de OpenID y los botones de “ingresa con tu cuenta de…” por algunos meses. De esta forma también se incrementará los niveles de privacidad en Internet, dado que iniciar sesión con las cuentas de redes sociales permite que los datos sean mucho más fáciles de rastrear.
Si el usuario planea seguir utilizando las autorizaciones OpenID, por el momento, se debe mantener muy alerta a las estafas phishing.

Fuente: Taktikee Consultores de Comunicación
Foto: grupo-chg.com

Gracias por Compartir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *