| |
VSantivirus No. 546 - Año 6 - Sábado 5 de enero de 2002
Los 25 millones de mensajes enviados por Microsoft
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Recibir un mensaje como este, puede resultar muy sospechoso:
--- mensaje original ---
De: Microsoft .NET Passport
[mailto:Microsoft.NETPassport_033402@msnnewsletters.customer-email.com]
Enviado el: miércoles, 02 de enero de 2002 6:50
Para: xxxx@xxxxx
Asunto: Aviso urgente sobre la seguridad del explorador: se recomienda
acción inmediata
Gracias por utilizar Microsoft® .NET Passport. Debido a que
Microsoft reconoce la importancia que adquieren la seguridad y la
confiabilidad a la hora de utilizar software de Internet, hemos
proporcionado actualizaciones de seguridad gratuitas para el
explorador, que mejoran la protección de su información en línea.
Se recomienda que compruebe ahora si su explorador necesita una
de estas actualizaciones. Para ello, visite el sitio:
http://securitycheck.passport.com/default.asp?lc=3082 .
INFORMACIÓN ADICIONAL
Puede obtener más información sobre cuestiones de seguridad del
explorador en:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet
/security/bulletin/MS01-055.asp (sólo en inglés).
Para obtener más información sobre las prácticas de seguridad en
línea, vaya a:
http://www.microsoft.com/privacy/safeinternet/security
/best_practices/default.htm (sólo en inglés).
SI HACE CLIC EN UN VINCULO QUE NO FUNCIONA...
Cópielo y péguelo en la barra de dirección de su explorador.
Seleccione el vínculo completo (que empieza por http:// y puede
incluir varias líneas) y cópielo. Para ello, haga clic en la opción
de menú Edición y en Copiar. A continuación, abra el explorador y
haga clic en el cuadro donde suele ver la dirección de las páginas
Web. Pegue el vínculo en este cuadro (para ello, normalmente, haga
clic en Pegar en el menú Edición) y haga clic en Ir a o Intro.
NET Passport se compromete a proteger su privacidad. Recomendamos
que consulte nuestra declaración de privacidad en:
http://www.passport.com/privacypolicy.asp?lc=3082 .
Con respecto a todas las cuestiones de seguridad, Microsoft se
compromete a mantener informados a sus clientes. Una vez más
agradecemos su confianza al utilizar .NET Passport.
Soporte al cliente de .NET Passport
No responda a este mensaje; ha sido enviado desde una dirección
de correo electrónico no controlado y no podremos responder al
mismo.
--- final del mensaje ---
Para quienes siguen nuestras advertencias y recomendaciones, lo anterior despierta grandes dudas. Más cuando recientemente se divulgaron algunas bromas o engaños, que consistían en hacerse pasar por los verdaderos sitios a los que imitaban, con el objetivo de robar la información solicitada.
Después de todo ello, recibir un mensaje de Microsoft como el anterior, máxime cuando no es su costumbre, tiene que encender en el peor de los casos, alguna luz de alarma.
Y así lo hizo en algunos de nuestros lectores, los que nos enviaron el mensaje para su examen, sospechando se tratara de un SCAM.
Pero en este caso, el mensaje es real. Microsoft sí ha estado enviando este tipo de correo a todos sus clientes de Hotmail y MSN. Según los cálculos de alguna prensa, un mensaje similar ha sido enviado por lo menos a 25 millones de usuarios.
Tal vez despierte curiosidad lo que parece ser cierta desesperación en la intención. Es que si ello fuera así, es justificada. Porque Microsoft necesita impulsar su proyecto .NET, y Passport es la clave para englobar todos los planes que apuntan a una gran red de computadoras que nos proporcionarán todo lo necesario, a través de una sencilla conexión. Desde pagar todas nuestras cuentas bancarias, hasta alquilar los programas que necesitemos (¿porqué comprarlos, si le vamos a dar un uso puntual por ejemplo?).
Con este mensaje, Microsoft busca que millones de usuarios que aún no lo han hecho (por ignorancia o por comodidad), actualicen sus navegadores para corregir los problemas de seguridad descubiertos en noviembre del año pasado, y que pusieron a Passport en el banquillo de los acusados.
La falla, exponía datos personales contenidos en las cookies, lo que permitía a un atacante acceder a ellos y modificarlos en su provecho. O incluso robar datos sensibles como nombres de usuario, contraseñas y números de tarjetas de crédito.
El envío de este mensaje a 25 millones de usuarios, estaba más que justificado... Salvo por un pequeño detalle. Como no es el procedimiento normal usado por la compañía, muchos usuarios desconfían de su veracidad. Y con razón. Porque nadie nos puede asegurar que ahora, alguien modifique uno de estos mensajes y lo convierta no solo en un SCAM, sino que además pueda usarlo como disfraz para algún nuevo virus.
Por lo tanto, y para ser coherentes, la única recomendación posible, es que siga desconfiando de cualquier mensaje (y más cuando usted no lo solicitó) donde se le pida ingresar algún tipo de datos, o llevarlo a enlaces que usted no pidió.
¡Y ni siquiera se ha utilizado PGP o similar para demostrar su veracidad!.
Y por supuesto, actualice su navegador, si no lo ha hecho, pero utiliza los servicios de Passport (Hotmail, MSN Messenger, etc.).
Referencias:
Actualizaciones de seguridad
http://securitycheck.passport.com/default.asp?lc=3082
VSantivirus No. 484 - 4/nov/01
Passport, vulnerable al robo de información personal
http://www.vsantivirus.com/04-11-01.htm
VSantivirus No. 496 - 16/nov/01
Parche para la vulnerabilidad de las cookies (MS01-55)
http://www.vsantivirus.com/vulms01-055.htm
Glosario:
SCAM - Se le dice SCAM a los engaños, mezcla de SPAM (correo basura) y HOAXES (bromas o falsas alertas) que circulan por la red, generalmente con la intención de cometer algún tipo de fraude.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
