18:06 11/06/02
UN ESTUDIO ALERTA CONTRA LA NULA PRIVACIDAD DE LOS PROGRAMAS DE MENSAJERÍA INSTANTÁNEA
Mercè Molist
Virus, espionaje, ataques de "crackers"... Son los riesgos que corren inadvertidamente millones de usuarios de los cada vez más populares programas de mensajería instantánea, según un estudio de la compañía Internet Security Systems (ISS): "Parecen inocuos, pero no fueron diseñados para transportar datos sensibles, menos en entornos corporativos, no soportan cifrado ni otras medidas de seguridad. Los tres proveedores mayoritarios de estos servicios, AOL, Yahoo! y Microsoft, han sufrido ya violaciones de privacidad y agujeros de seguridad".Según ISS, el principal fallo está en el funcionamiento cliente-servidor de la mensajería instantánea. El 'programa cliente' está instalado en el ordenador del usuario y el servidor, en las máquinas centrales del proveedor del servicio. Todos los datos y mensajes viajan del cliente al servidor y de éste al destinatario. Así, es posible espiar las conversaciones de dos personas dentro de una misma empresa, sin necesidad de traspasar su cortafuegos, espiando los mensajes que entran y salen de la red corporativa. El estudio critica también que las comunicaciones no van cifradas y es fácil romper las contraseñas que, en el caso de Yahoo! Messenger, viajan en claro.
Otro problema común a estos programas, según la empresa de seguridad de Atlanta, es que no esconden la dirección IP del ordenador, haciéndolo fácilmente localizable en la red. Si a eso se añade que muchos usuarios no configuran bien la compartición de archivos y permiten por error el acceso a directorios confidenciales, la puerta está abierta para los intrusos. También los virus empiezan a campar a sus anchas en las redes de mensajería instantánea: Aol Instant Messenger (AIM) ya tiene el suyo propio, llamado 'Aplore'. Y en ICQ corre 'Goner'. Y 'Choke', en MSN Messenger.
La conclusión de Internet Security Systems es que, sin necesidad de virus, los programas de mensajería instantánea son ya grandes agujeros de seguridad, especialmente si se instalan en ordenadores de redes corporativas, donde es difícil evitarlos. Yahoo! Messenger, por ejemplo, está especialmente diseñado para evadir los filtros técnicos: si el cortafuegos no le deja conectarse a su puerto de entrada/salida habitual, automáticamente busca otros que no estén bloqueados.
El estudio destaca los mismos peligros para los programas P2P de las redes Kazaa o Gnutella y recomienda a los administradores de sistemas extremar las precauciones.
Internet Security Systems
http://www.iss.net