Los trabajadores, y por extensión las empresas, que revisan correo electrónico de Exchange mediante un smartphone deben extremar las precauciones, recomienda el hacker Peter Hannay en la conferencia Black Hat.
El hacker Peter Hannay demostró en la conferencia Black Hat lo fácil que es conseguir que smartphones y tablets se conecten a una cuenta falsa de Exchange. Como se sabrá, Microsoft Exchange es el sistema más utilizado por las empresas para funciones de e-mail, calendario y agenda. Muchos usuarios utilizan Outlook para revisar su correo, tanto en el trabajo como fuera de este.
Sin embargo, desde el momento mismo en que el usuario comienza a operar en su oficina móvil se abre una serie de posibilidades para intrusos y ciberdelincuentes. Según Hannay, Microsoft se encoge de hombros frente a la validez, o caducidad, de los denominados certifiados SSL (Secure Socket Layer), lo que permitiría a intrusos configurar un servidor de Exchange falso, que puede «atraer a smartphones, haciéndoles caer en su trampa».
En declaraciones hechas por Hannay a Ars Technica, explica que la principal vulnerabilidad radica en la forma en que el software instalado en terminales móviles maneja funciones de cifrado y certificados digitales. Según Hannay, el procedimiento estándar debería ser: «Este certificado no es válido. Ninguno de los detalles es correcto. Por lo tanto, no me conectaré a este sistema».
Según la publicación, Hannay sólo necesitó 40 líneas de código Python para infringir los elementos de seguridad de SSL.
Por irónico que parezca, los certificados SSL están diseñados precisamente para impedir los ataques /// man in the middle.
En otras palabras, su función debería ser precisamente permitir que smartphones y tablets se conecten al servidor únicamente cuando el certificado presentado por el servidor contenta una clave válida y cifrada que lo identifique cabalmente.
El experimento presentado por Hannay en la conferencia demuestra que lo anterior no siempre es el caso. Microsoft, por su parte, dice estar informado sobre el tema y que su departamento Exchange analiza en detalle la información aportada por el hacker Peter Hannay.