RRHH Digital. El sitio web de redes profesionales LinkedIn tiene una serie fallos de seguridad que hacen que las cuentas de los usuarios sean vulnerables a los ataques de ‘hackers’ que podrían robar las contraseñas, según asegura un investigador de seguridad que identificó el problema.
La noticia sobre la vulnerabilidad del sitio surgió este fin de semana, sólo días después de que LinkedIn Corp. hiciera público su debut en Bolsa, que recuerda al auge de la inversión ‘dot.com’ de la década de 1990.
Rishi Narang, un investigador de seguridad de Internet independiente en Nueva Delhi (India), fue quien descubrió el fallo de seguridad – dijo a Reuters este domingo que el problema está relacionado con la forma en que LinkedIn maneja un tipo de uso de datos de archivos conocidos como ‘cookies’.
Cuando un usuario introduce el nombre de usuario y la contraseña para acceder a una cuenta, el sistema de LinkedIn crea la ‘cookie’ «LEO_AUTH_TOKEN» en el ordenador del usuario que sirve como una clave para acceder a la cuenta.
Muchos de los sitios web utilizan ‘cookies’, pero lo que hace que la ‘cookie’ LinkedIn sea inusual es que no tiene vencimiento hasta un año después a partir de la fecha de su creación, dijo Narang.
La mayoría de sitios web comerciales normalmente diseñan sus ‘cookies’ de acceso para que expiren cada 24 horas, o incluso antes, dijo Narang.
Hay algunas excepciones: los sitios de registro de usuarios de bancos expiran después de 5 ó 10 minutos de inactividad. Google da a sus usuarios la opción de usar ‘cookies’ que los mantienen conectados durante varias semanas, pero permite al usuario decidir si usarlas o no desde el primer momento.
La larga vida de la ‘cookie’ de LinkedIn significa que cualquier persona que se apodera de ese archivo puede cargarlo en un PC y acceder fácilmente a la cuenta del usuario original durante un año. La empresa emitió un comunicado asegurando que ya está tomando medidas para proteger las cuentas de sus clientes. «LinkedIn se toma la privacidad y seguridad de nuestros miembros en serio», dijo el comunicado.
«Si usted utiliza LinkedIn o cualquier otro sitio, siempre es una buena idea elegir redes de confianza y/o redes Wi-Fi cifradas o VPN (redes privadas virtuales), siempre que sea posible.»
La compañía aseguró que en la actualidad soporta SSL, o Secure Sockets Layer, la tecnología de encriptación de ciertos datos «sensibles», incluyendo las cuentas de acceso. Pero estas ‘cookies’ de acceso aún no están codificadas con SSL. Eso hace que sea posible que los ‘hackers’ puedan robar las ‘cookies’ utilizando herramientas ampliamente disponibles para olfatear el tráfico de Internet, dijo Narang.
LinkedIn, dijo en su declaración que se está preparando para ofrecer «opt-in», el soporte SSL para otras partes del sitio, una opción que cubre el cifrado de las ‘cookies’. La compañía dijo que espera que esté disponible «en los próximos meses».
Narang dijo que el problema es especialmente grave ya que los usuarios de LinkedIn no son conscientes del problema y no tienen idea de que deberían proteger sus ‘cookies’.
Los comentarios están cerrados.