Un agujero en la seguridad de Gmail, el servicio de correo web gratuito de Google, permite el acceso a las cuentas de usuario de terceros, sin necesidad de conocer la contraseña, según publica una revista israelí.
"¿Usted obtuvo recientemente una cuenta de Gmail, o quizás usted recibió una invitación para sacar otra?, pues hay malas noticias, su casilla de correo está expuesta", afirma la publicación Nana NetLife Magazine. Las declaraciones publicadas corresponden a Nir Goldshlagger, un conocido hacker israelí. "Todos sus datos podrían estar expuestos públicamente. Sus correos podrían estar siendo leídos por desconocidos, y además, cualquiera podría enviar y recibir mensajes en su nombre", dice Goldshlagger. "Aún más alarmante", explica, "es el hecho que hacer esto es bastante sencillo para un pirata informático, si tiene el conocimiento de la técnica específica para hacerlo y el nombre de usuario de la víctima". Google confirmó el fallo, que aún no está solucionado. En el reporte publicado no se dan más detalles de esta debilidad, salvo el hecho de que se basa en obtener las cookies relacionadas con la víctima, por medio de un enlace maliciosamente construido que apunta a Gmail. Y de nada vale cambiar la contraseña, ya que esta técnica permite que una vez que se ha obtenido esta cookie, cualquiera podrá ingresar a esa cuenta sin necesidad de password alguno. Puede ser probable que algunos piratas ya hayan utilizado este método para acceder a las cuentas de usuarios que aún ignoran el peligro que corren. Según el informe, el problema puede ser mayor de lo que se piensa. Como Gmail ofrece un gigabyte de espacio de almacenamiento, muchos usuarios no borran su correspondencia antigua, o usan ese espacio para almacenar otros documentos privados, incluyendo contraseñas y otra información crítica. Se trata de una grave amenaza, ya que los usuarios prácticamente no tienen forma de protegerse (no importa el cambio de contraseñas), es relativamente fácil explotarlo, y permite el robo de identidad (el atacante puede no solo enviar mensajes desde la cuenta de su víctima, sino acceder a todas las respuestas enviadas a la cuenta secuestrada). No sería aventurado afirmar que es solo cuestión de tiempo para que alguien pueda crear una herramienta automática que sirva para aprovecharse de este fallo. "La única solución por el momento es no utilizar Gmail para almacenar mensajes ni archivos que puedan ser utilizados maliciosamente. Por lo menos hasta que Google se ocupe de este problema", afirma la publicación. Además se debe considerar que cualquiera podrá tomar la personalidad de quien tenga una cuenta en Gmail, haciéndose pasar por él en cualquier momento. Nota: El 1/11/04, Google afirma haber corregido este fallo (ver "Google anuncia haber solucionado fallo en Gmail", http://www.vsantivirus.com/02-11-04.htm) |