25 de noviembre de 2024
RRHHDigital - El periódico online referente en Recursos Humanos

Los fallos de seguridad de LinkedIn

Los fallos de seguridad de LinkedIn

RRHH Digital. El sitio web de redes profesionales LinkedIn tiene una serie fallos de seguridad que hacen que las cuentas de los usuarios sean vulnerables a los ataques de ‘hackers’ que podrían robar las contraseñas, según asegura un investigador de seguridad que identificó el problema.

La noticia sobre la vulnerabilidad del sitio surgió este fin de semana, sólo días después de que LinkedIn Corp. hiciera público su debut en Bolsa, que recuerda al auge de la inversión ‘dot.com’ de la década de 1990.

Rishi Narang, un investigador de seguridad de Internet independiente en Nueva Delhi (India), fue quien descubrió el fallo de seguridad – dijo a Reuters este domingo que el problema está relacionado con la forma en que LinkedIn maneja un tipo de uso de datos de archivos conocidos como ‘cookies’.

Cuando un usuario introduce el nombre de usuario y la contraseña para acceder a una cuenta, el sistema de LinkedIn crea la ‘cookie’ «LEO_AUTH_TOKEN» en el ordenador del usuario que sirve como una clave para acceder a la cuenta.

Muchos de los sitios web utilizan ‘cookies’, pero lo que hace que la ‘cookie’ LinkedIn sea inusual es que no tiene vencimiento hasta un año después a partir de la fecha de su creación, dijo Narang.

La mayoría de sitios web comerciales normalmente diseñan sus ‘cookies’ de acceso para que expiren cada 24 horas, o incluso antes, dijo Narang.

Hay algunas excepciones: los sitios de registro de usuarios de bancos expiran después de 5 ó 10 minutos de inactividad. Google da a sus usuarios la opción de usar ‘cookies’ que los mantienen conectados durante varias semanas, pero permite al usuario decidir si usarlas o no desde el primer momento.

La larga vida de la ‘cookie’ de LinkedIn significa que cualquier persona que se apodera de ese archivo puede cargarlo en un PC y acceder fácilmente a la cuenta del usuario original durante un año. La empresa emitió un comunicado asegurando que ya está tomando medidas para proteger las cuentas de sus clientes. «LinkedIn se toma la privacidad y seguridad de nuestros miembros en serio», dijo el comunicado.

«Si usted utiliza LinkedIn o cualquier otro sitio, siempre es una buena idea elegir redes de confianza y/o redes Wi-Fi cifradas o VPN (redes privadas virtuales), siempre que sea posible.»

La compañía aseguró que en la actualidad soporta SSL, o Secure Sockets Layer, la tecnología de encriptación de ciertos datos «sensibles», incluyendo las cuentas de acceso. Pero estas ‘cookies’ de acceso aún no están codificadas con SSL. Eso hace que sea posible que los ‘hackers’ puedan robar las ‘cookies’ utilizando herramientas ampliamente disponibles para olfatear el tráfico de Internet, dijo Narang.

LinkedIn, dijo en su declaración que se está preparando para ofrecer «opt-in», el soporte SSL para otras partes del sitio, una opción que cubre el cifrado de las ‘cookies’. La compañía dijo que espera que esté disponible «en los próximos meses».

Narang dijo que el problema es especialmente grave ya que los usuarios de LinkedIn no son conscientes del problema y no tienen idea de que deberían proteger sus ‘cookies’.

NOTICIAS RELACIONADAS

DEJA UNA RESPUESTA

Los comentarios están cerrados.

Los lectores opinan

¿Qué impacto tendría la implementación de una jornada laboral reducida en el rendimiento y la satisfacción de los empleados?

Ver los resultados

Cargando ... Cargando ...
Lo más leído

Regístrate en el boletín de RRHHDigital

* indicates required
Opciones de Suscripción
En cumplimiento de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), EDICIONES DIGITALES SIGLO 21, SL., le informa de que los datos de carácter personal que nos ha proporcionado mediante la cumplimentación de cualquier formulario electrónico que aparece en nuestras Web Site, así como aquellos datos a los que EDICIONES DIGITALES SIGLO 21, SL. acceda como consecuencia de su navegación, de la consulta, solicitud o contratación de cualquier servicio o producto, o de cualquier transacción u operación realizada a través de las Webs de nuestro grupo editorial EDICIONES DIGITALES SIGLO 21, SL., serán recogidos en un fichero cuyo responsable es EDICIONES DIGITALES SIGLO 21, SL. provista de CIF B86103140 con domicilio a estos efectos en Calle Comandante Franco, 24 28016, Madrid. Con carácter general, los datos de carácter personal que nos proporcione serán utilizados para atender sus solicitudes de información, así como informarle sobre nuevas actividades, productos y servicios de EDICIONES DIGITALES SIGLO 21, SL. Aquí puede leer nuestro aviso legal y política de privacidad.
rrhhdigital