Para los usuarios de correos electrónicos, el momento de relajarse por completo ante posibles amenazas a la seguridad y la privacidad nunca llega. Esta vez, el problema afecta a servicios ofrecidos por Microsoft.
En los últimos días, un número no precisado de clientes de la compañía ha recibido un mensaje en el que la misma alertaba de la posibilidad de que pudieron ser violadas informaciones contenidas en sus cuentas. Microsoft asegura que se trata de un grupo reducido de usuarios y que la brecha en la seguridad estuvo abierta entre el 1 de enero y el 28 de marzo de este año. En la gran mayoría de los casos, los hackers tuvieron acceso a datos como la dirección del correo, los nombres de las carpetas internas, lo objetos de los mensajes y nombres de los destinatarios, pero no a las claves y otras credenciales ni a los contenidos de los correos electrónicos, agrega. Los atacantes “podrían haber tenido acceso no autorizado al contenido de las cuentas” en el caso de un 6% de los usuarios afectados, afirma también.
El pasado sábado, un cliente anónimo de Microsoft publicó en la web Reddit una captura de pantalla del correo de alerta recibido desde la compañía. “Hemos detectado que las credenciales de un miembro del equipo de soporte de Microsoft han sido comprometidas, lo que ha permitido a individuos externos a la empresa acceder a información contenida en su cuenta”, rezaba el mensaje.
En el mismo correo, el gigante tecnológico aseguró que, en cuanto se dieron cuenta del problema, deshabilitaron las credenciales comprometidas para evitar nuevos accesos no autorizados. Sin embargo, admitía que “no tiene indicaciones” sobre por qué los hackers visualizaron la información violada ni qué hicieron con ella. Por esa razón, alertó a los usuarios afectados de que pueden recibir mensajes de phishing (un tipo de estafa virtual) o spam y les animó a cambiar la clave de acceso.
Microsoft prometió en el mensaje a sus clientes que los hackers no visualizaron el contenido de los correos de las cuentas afectadas ni los archivos posiblemente adjuntados a ellos. Un portavoz añadió que el ataque involucró “un número limitado de cuentas de consumidor [es decir, no de cuentas utilizadas por empresas u organizaciones]”. De momento, la compañía no da ulterior información sobre la cifra de los afectados.
Este domingo, la wed ZDNet publicó que había recibido confirmación por parte de Microsoft de que los hackers podrían haber accedido a los correos de un 6% de los usuarios notificados. Y este lunes Motherboard, web de ciencia y tecnología de la revista Vice, publicó que tenía ulteriores pruebas, obtenidas por una fuente conocedora de la situación, que corroboran esta información. El medio asegura que fueron hackeadas cuentas de Outlook, Hotmail y MSN.
Ataques recurrentes
No es la primera vez este año que salen a la luz casos de fallos en la seguridad de los servicios de correo electrónico. Hace poco menos de dos meses, Microsoft informó de que había detectado 104 ataques a cuentas de organizaciones con sede en Bélgica, Francia, Alemania, Polonia, Rumanía y Serbia. En enero, el experto en seguridad informática Troy Hunt alertó de que habían sido expuestas en un foro de hackers más de 772 millones de direcciones de correo electrónico y 21 millones de contraseñas únicas.
Hunt dijo que los usuarios cuyos correos y contraseñas estuviesen presentes en esa filtración se exponían a que uno o más hackers pudieran intentar combinar emails y passwords para acceder a los datos contenidos en las cuentas o a otros servicios, como redes sociales o cuentas bancarias, en los que se hubieran utilizado las mismas credenciales. Para comprobar si una cuenta estaba afectada por la exposición masiva, el experto puso a disposición la herramienta haveibeenpwned.com, que permite introducir una dirección y ver si ha sido hackeada. Actualmente esta página tiene un registro que incluye más de 7.840 millones de cuentas.
La filtración de correos detectada por Hunt se conoce como una de las más masivas de la historia. La que se suele indicar como la peor hasta la fecha se conoció en 2017, cuando Yahoo admitió que cuatro años antes habían quedado al descubierto más de 3.000 millones de cuentas gestionadas por esta compañía.