Es posible secuestrar cuentas de Skype usando la dirección de correo de los usuarios

Un grupo de hackers rusos ha descubierto una vulnerabilidad en la herramienta de recuperación de contraseñas del servicio de VoIP que permitiría tomar control de cuentas de terceros.

Hackers rusos han detectado un grave agujero de seguridad en Skype que, en la práctica, permite tomar el control de las cuentas de terceros en el servicio de VoIP propiedad de Microsoft.

El fallo se encuentra, concretamente, en la herramienta de recuperación de contraseñas de Skype, según informa The Next Web, que ha sido capaz de reproducir el patrón de ataque con éxito.

Todo lo que los ciberdelincuentes necesitan para realizar sus fechorías es conocer el nombre de usuario y la dirección de correo electrónico con la que cada persona se ha registrado en Skype. Dos datos que, en realidad, no son difíciles de conseguir.

Con esta información en su poder, pueden acceder a la cuenta de las víctimas y modificar la contraseña para bloquear el acceso al usuario legítimo en cuestión de minutos.

“La razón por la que esto funciona es simple, pero sigue siendo preocupante”, dice la publicación. “Cuando se utiliza una dirección de correo electrónico existente para inscribirse de nuevo en Skype, el servicio envía por correo electrónico un recordatorio de tu nombre de usuario, lo cual es bueno, ya que nadie más tiene acceso a tu correo electrónico. Por desgracia, dado que este método permite obtener un token de restablecimiento de contraseña enviado a la propia aplicación de Skype, permite a un tercero canjearlo y reclamar la propiedad de tu nombre de usuario original y, por lo tanto, la cuenta”.

Skype ya está investigando el problema por lo que, de momento, la ténica de seguridad más efectiva sería modificar la dirección de e-mail utilizada en el servicio. Sobre todo si los usuarios utilizan para Skype direcciones que son de dominio común.