20 may 2013

¿Una puerta trasera en Skype?

Lo que se rumoreó desde hace varios años parece tener ciertos indicios de certeza gracias a algunas pruebas. Skype podría tener una puerta trasera que permitiera acceso a las comunicaciones.

Varios grupos defensores de los derechos civiles enviaron una carta abierta a Microsoft cuestionando la seguridad de las comunicaciones en Skype y requiriendo un informe periódico sobre la transparencia en la prácticas.

Según The H Security investigadores realizaron pruebas en las que se enviaron por Skype enlaces y comprobaron que las URLs https (ssl) fueron "probadas" desde una dirección IP que pertenece a Microsoft en Redmond, no así las URLs http.

Con respecto a esto consultaron a Skype quienes se refirieron a su política de protección de datos diciendo:
"Skype podría usar un escaneo automático en los Mensajes Instantáneos o SMS para (a) identificar spam sospechoso y/o (b) identificar URLs que han sido señaladas previemente como enlace de spam, fraude o phishing."
Varios hechos hacen sospechar, siempre según The H Security [1], que no sería con esos propósitos. Por una parte que no se verificaron las URLs sin SSL, la demora de varias horas en el chequeo de las URLs (si fuera como dicen el tiempo es un factor importante para prevenir phishing), solo se realizaban solicitudes de encabezados en los sitios (si fuera para verificar spam o phishing deberían acceder al contenido) y que nunca se visitaron páginas con enlaces que llevaban, a propósito, a sitios maliciosos bien conocidos.

Los investigadores no descartan que todas estas "pruebas" pudieran ser parte de medidas de seguridad pero que las describen como bastante mal implementadas, teniendo en cuenta las demoras de varias horas en examinar enlaces y no analizar el contenido de páginas.

Finalmente mencionan los investigadores que en sus últimas pruebas de envíos de enlaces no se comprobaron accesos desde Redmond.

Microsoft adoptó una posición defensiva y declararon que "de buena fe mantenemos el acceso a todos los mensajes enviados a través del chat para eliminar los enlaces de spam y phishing".

Referencias:
Raúl de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!