Un investigador ha encontrado un error que permite a cualquiera hacerse pasar por cuentas de correo electrónico corporativas de Microsoft, haciendo que los intentos de phishing parezcan creíbles y con más probabilidades de engañar a sus objetivos.
Al momento de escribir este artículo, el error no ha sido corregido. Para demostrar el error, el investigador envió un correo electrónico a TechCrunch que parecía enviado por el equipo de seguridad de cuentas de Microsoft.
La semana pasada, Vsevolod Kokorin, también conocido en línea como Slonser, escribió en X (anteriormente Twitter) que encontró el error de suplantación de correo electrónico y lo informó a Microsoft, pero la compañía desestimó su informe después de decir que no podía reproducir sus hallazgos. Esto llevó a Kokorin a publicar el error en X, sin proporcionar detalles técnicos que ayudarían a otros a explotarlo.
“Microsoft acaba de decir que no podían reproducirlo sin proporcionar ningún detalle”, dijo Koroin a TechCrunch en un chat en línea. “Microsoft podría haber notado mi tweet porque hace unas horas reabrieron [sic] uno de mis informes que había presentado hace varios meses”.
El error, según Kokorin, sólo funciona al enviar el correo electrónico a cuentas de Outlook. Aún así, se trata de un grupo de al menos 400 millones de usuarios en todo el mundo, según el último informe de ganancias de Microsoft.
Kokorin dijo que hizo un seguimiento con Microsoft por última vez el 15 de junio. Microsoft no respondió a la solicitud de comentarios de TechCrunch el martes.
TechCrunch no divulga detalles técnicos del error para evitar que piratas informáticos malintencionados lo exploten.
“No esperaba que mi publicación provocara tal reacción. Sinceramente, sólo quería compartir mi frustración porque esta situación me entristecía”, dijo Kokorin. “Mucha gente me malinterpretó y piensa que quiero dinero o algo así. En realidad, sólo quiero que las empresas no ignoren a los investigadores y sean más amigables cuando intenten ayudarlos”.
No se sabe si alguien además de Kokorin encontró el error o si ha sido explotado maliciosamente.
Si bien se desconoce la amenaza de este error en este momento, Microsoft ha experimentado varios problemas de seguridad en los últimos años, lo que provocó investigaciones tanto por parte de reguladores federales como de legisladores del Congreso.
La semana pasada, el presidente de Microsoft, Brad Smith, testificó en una audiencia en la Cámara después de que China robara un tramo de correos electrónicos del gobierno federal de EE. UU. de los servidores de Microsoft en 2023. En la audiencia, Smith prometió un esfuerzo renovado para priorizar la ciberseguridad en la empresa después de una serie de problemas de seguridad.
Meses antes, en enero, Microsoft confirmó que un grupo de hackers vinculado al gobierno ruso había irrumpido en cuentas de correo electrónico corporativas de Microsoft para robar información sobre lo que los altos ejecutivos de la compañía sabían sobre los propios hackers. Y la semana pasada, ProPublica reveló que Microsoft no había prestado atención a las advertencias sobre una falla crítica que luego fue explotada en la campaña de ciberespionaje respaldada por Rusia y dirigida a la empresa de tecnología SolarWinds.