Comunicaciones

Peligro instantáneo
:: La mensajería instantánea y sus problemas de seguridad ::

Ya sabemos que el correo electrónico revolucionó la forma que tenemos de comunicarnos con personas lejanas. El correo tradicional, para muchos, ha perdido su valor, y resulta lento, tedioso y caro.

Para muchas personas, es el servicio más valorado que ofrece Internet.

Todo tiene un precio, y por el hecho de poseer una cuenta de correo, debemos soportar inconvenientes como el correo no deseado, y el constante problema de la intimidad y virus informáticos. La popularidad del correo electrónico, sin embargo, se está viendo mermada por un rival mucho más atractivo y aún más rápido, la mensajería instantánea. Los más de 50 millones de usuarios en el mundo que hacen uso de Microsoft Messenger, ICQ, o Yahoo! Messenger, dan buena fe de ello. Todos son gratuitos, pero ¿qué precio pagan por usarlos? La respuesta es sencilla, estar expuestos a todo tipo de peligros.

La mensajería instantánea (IM en inglés, Instant Messaging) va un paso más allá en las comunicaciones rápidas. Se pueden mantener conversaciones en tiempo real escribiendo mensajes que van y vienen como si habláramos por teléfono. Nos comunican quién está conectado y proporciona la posibilidad de hablar con varios a la vez. Por muchas razones, la IM ha cubierto el hueco existente entre la "lentitud" del correo electrónico y la excesiva atención y "esfuerzo" que requiere una llamada telefónica, haciéndolo idóneo para la comunicación entre muchas compañías y usuarios de "a pie".

Para muchas personas, es el servicio más valorado que ofrece Internet, pues proporciona más ventajas que el chat tradicional (sólo se habla con quien se quiere), y no reparan en los peligros que representa. Al igual que el IRC, cuya fama de lugar inseguro y nido de troyanos es bien merecida, los programas de mensajería instantánea carecen de las medidas de seguridad mínimas para confiar en él.

Símbolo arroba, característico de las direcciones de correo electrónicas E-mail

Las compañías antivirus pronto se dieron cuenta de que el correo era un posible coladero de virus y hackers maliciosos, por lo que rápidamente ofrecieron soluciones específicas para mitigar los riesgos. Para la IM, sin embargo, aún no han llegado a ninguna solución estándar, y parecen haber quedado atrás en lo que a soluciones seguras se refiere. Todos los programas de mensajería instantánea, envían las conversaciones sin cifrar, en texto plano, lo que no supone ningún problema para un hacker malicioso medianamente experimentado. Tampoco incluyen ninguna herramienta que compruebe la autenticidad de los archivos que se envían a través de ellos, la posibilidad de esconder virus o troyanos. De nada sirve, en una empresa, bloquear los virus que llegan por correo electrónico o los cortafuegos que evitan conexiones no deseadas, si cada trabajador tiene en su escritorio Microsoft Messenger y puede "traficar" libremente con archivos a través de él.

La mensajería instantánea va un paso más allá a la hora de compartir información. Permite conexiones punto a punto (p2p) para compartir libremente archivos entre miembros del "club", esto es, los que cada usuario mantiene en su lista de contactos. En otras palabras, cada usuario tiene potencial acceso a los discos duros de su comunidad. Por tanto, un hacker malicioso sólo se tiene que hacerse pasar por miembro del club para, con algunas herramientas, tener acceso al disco duro de su nuevo amigo. Pertenecer a un "club" es algo fácil, pues sólo hay que conocer el correo electrónico de la víctima en potencia e intentar que nos acepte, cosa que muchos hacen sin conocer realmente a quién están admitiendo.

Neal Hindocha, investigador de virus para Symantec, identifica los cinco mayores problemas que amenazan la mensajería instantánea. Los gusanos y virus, programas de puertas traseras o troyanos, el secuestro de sesiones o suplantación de personalidad, la denegación de servicio y, por último, la divulgación de información no autorizada.

Gracias a que por ahora los programas de mensajería son propietarios, esto es, no pueden "comunicarse" entre ellos, los creadores de virus no lo han alzado todavía como vía número uno para esparcir sus bichos. Por un lado, y debido a estos sistemas únicos que poseen cada uno, el estándar para este tipo de comunicaciones se retrasa, pero por otro, es el motivo por el que aún se mantiene a salvo. Los virus diseñados para esparcirse a través de Microsoft Messenger, por ejemplo, sólo tendrán como potenciales víctimas los usuarios de este programa, olvidando a los millones de usuarios de Yahoo!, AOL o ICQ, y su número en todo caso es mucho que menor que los potenciales víctimas que usan correo electrónico, un pastel mucho más apetitoso por ahora para los creadores de gusanos que buscan sus quince minutos de fama.

A pesar de esto el número de gusanos diseñados para infectar programas de mensajería ha aumentado considerablemente en los últimos meses. Aún no existe el sistema antivirus específico que pueda "pillar" infecciones escondidas en los paquetes enviados de IM a nivel de servidor. Por ahora, al contrario que los usuarios de correo electrónico, el único elemento efectivo para luchar contra ellos es el antivirus tradicional. Los expertos creen que la tecnología necesaria para atrapar a los virus durante sesiones de "streaming" (mientras se transmite la información y no una vez es alojada en el disco duro) estará plenamente desarrollada dentro de un año. Por ahora, recomiendan deshabilitar esta opción y no permitir a los empleados de las empresas transmitir o recibir archivos de esta manera.

La vulnerabilidad de los servicios de correo web de hotmail (Microsoft) o Yahoo! está más que demostrada, y cambiarla o conseguirla es sumamente fácil.

Por otro lado, está claro que la autenticación es una asignatura pendiente en este tipo de programas. Las contraseñas se envían al servidor sin cifrar y suelen ser las mismas usadas para proteger el correo web. La vulnerabilidad de los servicios de correo web de hotmail (Microsoft) o Yahoo! está más que demostrada, y cambiarla o conseguirla es sumamente fácil. Tanto como la suplantación de identidad una vez en manos del hacker malicioso. Las sesiones no caducan y el programa da la opción de recordar la clave, con lo que alguien con acceso a la máquina puede obtener información no sólo de la víctima, sino de todos sus contactos cuando se hace pasar por él.

En definitiva, hay que tener cuidado con una herramienta de comunicación tan usada como los programas de mensajería instantánea, puede llevarnos a proporcionar más información de la que nos gustaría y, sobre todo, es necesario evitar que se convierta en una herramienta de tráfico de virus y publicidad no solicitada, como en lo que tristemente está degenerando poco a poco el correo electrónico.

...por Sergio de los Santos

CONOCE MÁS SOBRE COMUNICACIONES EXCLUSIVAS EN MUNDOINFORMÁTICA