Hace unas horas fue desvelado un tremendo agujero seguridad en el sistema de recuperación de contraseñas de Skype, uno algo estúpido, casi para "exterminar al programador con fuego", dirían algunos. Básicamente, si alguien sabe el correo electrónico de tu cuenta, al abrir una cuenta nueva pueden utilizarlo para cambiar la contraseña.

Por lo pronto, Microsoft Skype ha inhabilitado su sistema de recuperación de contraseñas. En entrevista para The Next Web:

Hemos tenido reportes de una nueva vulnerabilidad. Como medida precautoria hemos inhabilitado temporalmente el restablecimiento de contraseñas en tanto continuamos investigando el asunto. Ofrecemos disculpas por la inconveniencia, pero la experiencia de usuario y la seguridad son nuestra primera prioridad.

Los usuarios de Skype ya están seguros, al menos por el momento. Antes de la medida asumida por Skype, los usuarios sólo podían defenderse al cambiar su correo de registro por uno desconocido. Parte de lo grave (y tonto) de este problema es que se podía reproducir en seis sencillos pasos, nada más siguiendo el flujo normal del formulario de creación de cuenta nueva:

  1. Abres una cuenta nueva
  2. Usas el mail de una cuenta existente
  3. Abres la aplicación de Skype con esas credenciales
  4. Solicitas la recuperación de contraseña
  5. Skype envía el token de recuperación de contraseña al mail y a la aplicación
  6. Abres el link del token, Skype detecta más de una cuenta asociada a ese mail, eliges el de la víctima: cambias la contraseña

Bruce Schneier, famoso criptógrafo, dice que "la seguridad no es producto, es un proceso". Muy bien, pero para un usuario hackeado de esa manera, vamos, la frase viene dando lo mismo.