Lo descubrió un experto en seguridad italiano y lo denominó «cookiejacking». Un hacker puede obtener acceso a los archivos que almacenan contraseñas de Facebook, Twitter y otras webs accedidas desde el navegador de Microsoft.
Atención usuarios de Internet Explorer: todas las versiones del navegador de Microsoft, incluida la más moderna (IE 9), sufren de una falla de seguridad conocida como «cookiejacking».
Rosario Valotta, un experto en seguridad independiente que trabaja en Italia, la descubrió e hizo pública esta semana.
La falla permite que un hacker acceda a las «cookies», nombre con que se conoce a los archivos que almacenan los datos de logueo (nombre de usuario y contraseña) de distintos sitios web, como Facebook, Twitter, Hotmail, Gmail, etc. Con esa información, puede luego acceder a las cuentas del usuario y tomar control de las mismas.
«Cualquier sitio web. Cualquier cookie. El límite lo pone tu imaginación,» explica Valotta.
Explotar la falla no parecería tan sencillo. «Para exponerse a sufrir esta falla, el usuario debe visitar un sitio web malicioso, acceder a clickear y mover ítems en la página con el sistema ‘drag and drop’ y el atacante se va a ver obligado a apuntar hacia una cookie de un sitio web al que el usuario ya se haya logueado,» detalla Jerry Bryant, vocero de Microsoft, al mismo tiempo que explica por qué la empresa de Redmond no considera al «cookiejacking» como una falla de alto riesgo.
Mostrando un poco más de imaginación, Valotta revela un pequeño experimento propio. Creó un rompecabezas en el que los usuarios debían «desvestir» la foto de una atractiva muchacha y lo subió a Facebook. «Publiqué el juego online y, en menos de tres días, 80 cookies fueron enviadas a mi servidor.» Inmediatamente aclaró, «Y eso que solamente tengo 150 amigos».
Para evitar el «cookiejacking», la mejor solución es optar por navegadores más seguros que Internet Explorer, como Mozilla Firefox o Google Chrome.
