Varios investigadores han sacado a la luz un importante fallo de seguridad en Skype que se lleva produciendo desde al menos un año, momento en el que dieron cuenta a la compañía del hallazgo sin hacerlo público. La vulnerabilidad encontrada permite a personas ajenas vincular sus cuentas de usuarios del programa con las descargas en BitTorrent que realizan. Pasado este tiempo y tras realizar varios análisis este año, los investigadores aseguran que el fallo sigue vigente y no se ha puesto remedio alguno. La gravedad del fallo encontrado no sólo afectaría al seguimiento de hackers sobre las descargas, sino que podría haber estado derivando durante un año en casos de extorsión y estafa sobre los clientes del programa VoiP.
La investigación, llevada a cabo por investigadores de Estados Unidos y Europa, muestra con todo lujo de detalles como es posible averiguar los archivos que están descargando los usuarios de Skype en BitTorrent. Bajo el título de Sé donde estás y lo que estás compartiendo, el informe muestra como el exploit permite el seguimiento de la ubicación de los usuarios.
Ellos encontraron la manera de llamar a los usuarios de Skype sin que estos se dieran cuenta, dicho de otra forma, cualquier hacker con el conocimiento podría llamar y obtener la dirección IP sin que se note. A partir de ahí el exploit permite vincular la IP a una ubicación geográfica y a los usuarios de BitTorrent (en el caso de que lo utilice) de manera específica.
El análisis del hack permitió que junto al lanzamiento de grandes producciones de Hollywood el seguimiento fuera más efectivo por el gran tráfico que existió. Aún peor, el resultado incide en que la configuración de privacidad en Skype no es capaz de bloquear los ataques, por lo que los atacantes pueden ponerse "en contacto" con el usuario que quieran, figuren o no en la lista de contactos del usuario.
El resultado final del experimento arrojó que alrededor de 400 usuarios del programa fueron atacados sin que lo supieran, eso sí, se guardó toda privacidad referente a los mismos ya que su función era únicamente alertar a la compañía. Un año después de avisar a Skype, el estudio ha visto la luz tras continuar activo el exploit. Así lo explicaba Keith Ross, investigador de la Universidad de Nueva York:
Creemos que esto podría ser utilizado por varias personas para acechar, chantajear o estafar a los usuarios de Internet y en particular a los usuarios de intercambio de archivos P2P. Estos resultados tienen verdaderas implicaciones en la seguridad para los cientos de millones de personas en todo el mundo que utilizan VoIP o P2P y servicios de intercambio de archivos.
Un hacker en cualquier parte del mundo puede fácilmente rastrear el paradero y hábitos de intercambio de archivos de un usuario de Skype , desde particulares a celebridades y políticos, y hacer uso de la información con fines de acoso, chantaje o fraude.
Nos pusimos en contacto con Skype hace casi un año, pero el ataque sigue siendo efectivo.
Si el ataque ya es de por sí lo suficientemente grave, lo es aún más que Skype, con una base millonaria de usuarios en el mundo, no haya puesto remedio todavía.