Vulnerabilidad de seguridad permite falsificar correos electrónicos de empleados de Microsoft.

Un investigador ha descubierto un error que permite a cualquiera hacerse pasar por cuentas de correo electrónico corporativas de Microsoft, lo que hace que los intentos de phishing parezcan creíbles y más propensos a engañar a sus objetivos. Hasta el momento de esta escritura, el error no ha sido corregido. Para demostrar el error, el investigador envió un correo electrónico a TechCrunch que parecía enviado desde el equipo de seguridad de cuentas de Microsoft. La semana pasada, Vsevolod Kokorin, también conocido en línea como Slonser, escribió en X (anteriormente Twitter) que había encontrado el error de suplantación de correo electrónico y lo reportó a Microsoft, pero la compañía desestimó su informe después de decir que no podía reproducir sus hallazgos. Esto llevó a Kokorin a hacer público el error en X, sin proporcionar detalles técnicos que ayudarían a otros a explotarlo. “Microsoft simplemente dijo que no podían reproducirlo sin proporcionar detalles”, Koroin dijo a TechCrunch en un chat en línea. “Microsoft podría haber notado mi tuit porque hace unas horas reabrieron uno de mis informes que había enviado varios meses atrás”. Según Kokorin, el error solo funciona al enviar el correo electrónico a cuentas de Outlook. Aún así, se trata de una pool de al menos 400 millones de usuarios en todo el mundo, según el último informe de ingresos de Microsoft. Kokorin dijo que hizo seguimiento a Microsoft por última vez el 15 de junio. Microsoft no respondió a la solicitud de comentarios de TechCrunch el martes. TechCrunch no está revelando detalles técnicos del error para evitar que hackers malintencionados lo exploten. Aunque la amenaza de este error, en este momento, es desconocida, Microsoft ha experimentado varios problemas de seguridad en los últimos años, lo que ha generado investigaciones tanto por parte de reguladores federales como de legisladores del Congreso. La semana pasada, el presidente de Microsoft, Brad Smith, testificó en una audiencia de la Cámara después de que China robara un grupo de correos electrónicos del gobierno federal de EE.UU. de los servidores de Microsoft en 2023. En la audiencia, Smith se comprometió a hacer un esfuerzo renovado para priorizar la ciberseguridad en la empresa después de una serie de vergüenzas de seguridad. Meses antes, en enero, Microsoft confirmó que un grupo de piratería vinculado al gobierno ruso había entrado en cuentas de correo electrónico corporativas de Microsoft para robar información sobre lo que los altos ejecutivos de la compañía sabían sobre los propios hackers. Y la semana pasada, ProPublica reveló que Microsoft no había hecho caso a las advertencias sobre una falla crítica que luego fue explotada en la campaña de ciberespionaje respaldada por Rusia que apuntaba a la empresa tecnológica SolarWinds.