miércoles, 10 de agosto de 2011

Un fallo en la política de seguridad de Hotmail permite apoderarse de una cuenta de correo

La seguridad de Hotmail y las cuentas de usuario podrían estar en serio peligro de no hacerse una seria revisión de las políticas de seguridad hasta ahora empleadas por Microsoft en sus sistema de correo. Un usuario que pierda su cuenta de correo puede recuperarla tras varios años de inactividad con el serio peligro que esto supone. 

Por Norbert R. Ibañez
Un fallo de las políticas de seguridad de Hotmail permite que cualquier hacker o usuario se apodere de una cuenta que este inactiva mas un año. La popular plataforma de correo electrónico Hotmail no bloquea la posibilidad de reutilización de los nombres de direcciones de correo electrónico borradas una vez sus usuarios legítimos han perdido el acceso a esa cuenta. Esto supone todo un duro golpe a la seguridad del correo electrónico en Internet y para los usuarios que alguna vez fueron propietarios legítimos de esas cuentas de Hotmail, especialmente en el caso cuentas de correo Hotmail que han sido usadas por pequeñas PYMES.

Las direcciones de correo electrónico, cuentas gratuitas de Hotmail, no tienen una duración permanente en el tiempo. Solo están activas si son abiertas constantemente, pero si el usuario deja de acceder a ellas durante 3 meses; siguiendo las políticas de Microsoft los administradores de Hotmail las borran sin dar aviso alguno. Un usuario que no acceda a su cuenta de correo de Hotmail pasados los 270 días, automáticamente pierde la cuenta y todos los e-mail que tenga allí almacenados, que con el tiempo serán borrados.

Por desgracia puedo asegurar que esto es algo que sucede con la mayoría de los proveedores de servicios de correo web que existen por lo que el bug presuntamente también podría afectar a otros proveedores conocidos de Internet”.

Para explicar como funciona este curioso fallo de las políticas de seguridad de Hotmail es importante tener en cuenta las sutiles diferencias de tiempo establecidas por los propios proveedores de correo electrónico en Internet para mantener “el nombre de una dirección de correo electrónico activo”.

Por ejemplo, Hotmail afirma que después de un período de tres meses de no acceder la cuenta esta sera desactivada y los correos electrónicos de un usuario serán borrados. Una Yahoo mail por el contrario que supere los 4 meses de inactividad sera considerada un cuenta inactiva pasado ese tiempo, y los administradores desactivaran el acceso y su utilización al final de esos cuatro meses. En el caso de la Gmail si el usuario no accede en los nueve meses consecutivos de haberla creado Google tiene todo el derecho, según sus condiciones, de eliminar la dirección de correo del usuario sin emitir aviso alguno al usuario. Esto como puede verse es el sistema empleado actualmente por los proveedores para controlar el servicio de email.

Hasta aquí todo este proceso de administración de cuentas de correo electrónico gratuitas parecería bastante normal de no ser porque el proveedor de correo electrónico de Hotmail no tiene presuntamente definida una política de seguridad en relación a la futura reutilización del “nombre de dirección de correo electrónico” una vez la cuenta ha sido borrada del sistema.

“Una vez las cuentas de correo han sido dadas de baja (desactivadas) y borradas del sistema, los administradores de Hotmail se despreocupan de la futura posibilidad de reutilización de ese nombre de dirección de correo electrónico por parte de un usuario diferente del legitimo que anteriormente ya la uso. No mantienen un registro fiable de si esa cuenta fue ya borrada años atrás y que nuevamente pueda ser registrada de forma aparentemente legal por otro diferente usuario”. 

Los populares servicios de correo electrónico en Internet, podrían estar en serios apuros de no revisar sus políticas de seguridad en relación a la reutilización del los nombres de direcciones de correo electrónicos ya borrados del sistema años atrás. No es una afirmación, es una clara advertencia que les hago tanto a los proveedores de correo electrónico en Internet así como a los usuarios de las cuentas gratuitas. El caso ha sido comprobado con varias cuentas de correo electrónico Hotmail borradas del sistema y que permanecieron varios años sin ser utilizadas. Uno de los casos mas inquietantes, es del un propietario de una PYME que dejo de usar su correo por fallecimiento y al no acceder pasados los 120 días perdió todo acceso legitimo a su cuenta tras algunos años. La cuenta de Hotmail de la PYME permaneció publicada en numerosos sitios comerciales de internet como email de contacto para asuntos de la empresa, aunque en realidad la cuenta de correo estaba borrada del sistema de cuentas de Hotmail y no respondía ninguna petición.

“El fallo ocurre porque los administradores de Hotmail no tienen constancia alguna de actividad o trafico de una cuenta que ha sido borrada por ellos mismos del sistema, y no advierten que al no existir ninguna política de seguridad restrictiva sobre la reutilización de los mismos nombres de direcciones de correo electrónico ya usadas años atrás, dejan abierta la posibilidad de que en el futuro pueda ser nuevamente reutilizada por cualquiera que conozca esa misma dirección. Con este Bug de Hotmail, cualquiera puede apoderarse de una cuenta de Hotmail de una PYME o de otro usuario que ya existió hace años atrás”.


El borrado de una cuenta de correo tras 120 días de inactividad no es un proceso accidental, es una de las principales políticas de mantenimiento que aplica Microsoft Hotmail para no encontrarse con el sistema colapsado por una sobre abundancia de direcciones de correo electrónico de todo tipo abiertas por los usuarios.  Muchos usuarios abren esas direcciones de correo electrónico de Hotmail para todo tipo de fines o propósitos, y apenas las usan algún tiempo para luego, por los motivos que sean, dejar de usarlas o abandonarlas.

Para evitar este creciente caos acumulatorio de cuentas inútiles y en desuso Microsoft tiene una política muy estricta que revisa periódicamente la actividad de las cuentas de correo, con el propósito de mantener un equilibrio entre el espacio usado y el espacio libre disponible en los servidores de correo. El borrado de aquellas direcciones de correo electrónico que sobrepasan los 90 días sin ser utilizadas por los usuarios se lleva a cabo para moderar el uso del sistema de correo. De no hacerse así, la capacidad de los servidores podría verse desbordada a largo plazo y en serios apuros para continuar dando servicio de correo a nuevos clientes.

Sin embargo el sistema no es perfecto, y actualmente existen serios fallos en las políticas de seguridad y el control sobre que nombres de direcciones de correo electrónico han sido usados y borradas por el sistema de Administración tras cumplir el plazo legal de inactividad. No controlan la posibilidad de que ese nombre de dirección de correo electrónico pueda ser reutilizado tras varios años de estar borrado en el sistema y “literalmente, nadie controla que puede pasar después con esa dirección de correo”.


Como explicar el fallo de Hotmail de los 120 días
 Se trata de un fallo en la política de seguridad de Hotmail que esta relacionado con el limite de los 120 días y que es muy fácil de explotar por cualquier usuario o Hacker. Tras el cierre de la cuenta, la dirección de correo electrónico quedará reservada durante 120 días (Cuatro meses). Entonces el sistema genera automáticamente una alerta a partir de que la cuenta permanece inactiva durante unos 180 días (seis meses). Después tres meses adicionales, es decir, de un total de nueve meses (270 días), y de superar este período establecido por la política de hotmail, la bandeja de entrada se borra y la dirección de correo electrónico es borrada del sistema.

Mas exactamente, a partir de aquí la dirección de correo se borra del sistema de Hotmail cuando recién alcanza el limite de los 365 días de inactividad total (un año), es decir que ese nombre de usuario quedara libre en internet para que cualquier otro pueda usarlo y crear una nueva cuenta con el mismo nombre sin complicaciones. Esto significa que esa dirección de correo electrónico anteriormente borrada, estará nuevamente disponible dentro del sistema de cuentas de correo de Hotmail para que cualquier persona pueda registrarla y utilizarla con el mismo nombre de dirección de correo electrónico.
Y a partir de aquí es donde esto abre muchas y peligrosas posibilidades que nadie hasta el momento imaginaba. Un Usuario malicioso o un Hacker que investigue fácilmente si una cuenta esta o no borrada podrá usurparla facilmente. El detalle es sencillo de asimilar. Cuando un nombre de direccion de correo electrónico esta borrado, Hotmail da un aviso: “El Windows Live ID no es correcto. Vuelve a intentarlo”. De este modo, y aprovechando la actual política de Hotmail, con un poco de paciencia e investigación, cualquier usuario puede encontrar en internet cientos de cuentas de hotmail de anteriores usuarios, ahora abandonadas y en desuso, reactivarlas y lograr suplantar la identidad de otro usuario o la identidad de una PYME sin esforzarse demasiado. Así de simple, no tiene secretos.

Este fallo de las políticas de seguridad de Microsoft Hotmail tiene en este caso consecuencias legales inesperadas que no todo el mundo es capaz de prever. No solo esto puede afectar a la seguridad del usuario en cuestión sino también al ámbito de la protección de datos que puede ir aun mas lejos de lo que cabe imaginar. Reutilizar una dirección de correo electrónico anteriormente borrada con el consentimiento de los propios administradores de Hotmail puede convertirse en un problema legal para el anterior usuario y para el nuevo usuario que abra esa cuenta, ya que según la ley, una suplantación de la dirección de correo electrónico es un delito Informático de usurpacion de la identidad de otro usuario.

“Lo peor de todo es la actual situación jurídica en que deja Hotmail al usuario por no tomar medidas de protección para estos casos tan concretos relacionados con los nombres de direcciones de correo electrónico ya usados. Por un lado los administradores no ignoran que las cuentas borradas puedan ser reutilizadas,  mientras que por otro, parecen ser indiferentes a las posibilidades ilegales que supone que alguien use nuevamente esos nombres de direcciónes de correo electrónico ya usados años atrás. Esto parece completamente legal según el funcionamiento del sistema de correo de Hotmail, pero en realidad existen muchas posibilidades de que esto sea ilegal según la ley y la agencia de protección de datos actual”.  

“Me sorprende que los administradores de Hotmail no tengan ningún mecanismo de control sobre la reutilización de los nombres de direcciones de correo electrónico ya usados anteriormente. Ignoro si están al corriente de las posibles consecuencias legales que acarrea en la vida real que cualquier persona, por ese sistema, pueda reutilizar nuevamente un nombre de dirección de correo electrónico, con el peligro de seguridad que eso conlleva”.

Además, según mi opinión, la reutilización de nombres de direcciones de correo electrónico puede ser considerado como una vulneración de la Ley de la Agencia de Protección de Datos Personales, también llamada ley de hábeas data, que es la Agencia que debería de controlar y regular estos asuntos y al parecer en este caso no lo hace por ignorar esta extraña situación existente.

Solo se me ocurre un ejemplo comparativo con el que sugerir algunas de esas peligrosas consecuencias existentes:  En el caso de la cuentas de Hotmail, la posibilidad de reutilizar el mismo nombre de dirección de correo electrónico actualmente en Internet, puede permitir reabrir otras cuentas hibernadas, se pueden resolicitar servicios temporalmente dados de baja a nombre del antiguo propietario de la cuenta de correo. Se puede pedir el reenvío de la contraseña bancaria On-Line, se puede usar la cuenta para estafar amigos, familiares, o engañar a todo tipo de empresas o sitios oficiales. Se pueden pedir informes de vida, documentos de identidad, etc, y las posibilidades administrativas legales no se pueden prever. Definitivamente tiene serios efectos y consecuencias sobre los datos de los usuarios que por alguna extraña razón, todo el mundo parece ignorar.



¿Qué pasa con la cuenta de e-mail cuando fallece el usuario?
En un caso real investigado, una vez comprobada que la cuenta de Hotmail daba un mensaje de invalida, fue fácil llegar a la conclusión de que estaba borrada del sistema. Esa dirección de Hotmail estaba, pasados varios años borrada, y disponible para poder ser nuevamente registrada legítimamente con el mismo nombre de dirección de correo electrónico y los mismos datos de usuario.  Eso permitió que el nombre de la dirección de correo electrónico de Hotmail recién reutilizada comenzara automáticamente a recibir nuevamente el correo de todos los contactos donde tenia registro anteriormente esa cuenta; datos de bancos, datos financieros, datos y claves de instituciones, etc.

“No hay restricción o política de seguridad en Hotmail actualmente para impedir que alguien vuelva a reutilizar y registrar el nombre de una dirección de correo electrónico de un usuario que ya existió años atrás o que esta fallecido, y el proceso por el momento se puede hacer de forma aparentemente legitima porque la cuenta puede estar dentro de la lista de disponible en los sistemas de Hotmail como una nueva posibilidad”.

La reutilización de una cuenta de correo que perteneció anteriormente a una empresa supone por ejemplo un caso muy serio para la seguridad en Internet de los proveedores de direcciones de correo gratuitas, que tendrán que revisar muy a fondo sus políticas de reutilización de nombres de direcciones de correo electrónico, ya que existe la posibilidad de recuperarlas y usarlas nuevamente tras varios años de ser borradas y estar inactivas.

 "Por el momento no hay normativa de protección de datos a al respecto de este hecho tan particular del correo y de la reutilización de los nombres de direcciones de correo electrónico en nuestro país”.

Las compañías que brindan servicios gratuitos de e-mail se amparan en su política de derecho a la privacidad y en los términos y condiciones de adhesión al servicio. Las empresas solo revelan información en el caso de tener que responder a un requerimiento de la Justicia. Sin embargo con la reutilización de la cuenta se produce aparentemente un grave fallo en la política de seguridad que deja desprotegidas todas las cuentas que una vez fueron usadas y borradas, y cualquier puede recuperar contraseñas, reabrir viejas cuentas, o tener un acceso On-Line a un sistema bancario que lleva inactivo un año. Esto da una oportunidad a cualquier persona o hacker de apoderarse de una cuenta y hacer lo que quiera con ella. En fin, como veis no es un fallo para tomarlo a broma.

LinkWithin

Related Posts Plugin for WordPress, Blogger...