Un estudio alerta de la nula privacidad en la mensajería instantánea
Virus, espionaje, ataques de crackers... Son los riesgos que corren inadvertidamente millones de usuarios de los cada vez más populares programas de mensajería instantánea, según un estudio de la compañía Internet Security Systems (ISS): 'Parecen inocuos, pero no fueron diseñados para transportar datos sensibles, y menos en entornos corporativos; no soportan cifrado ni otras medidas de seguridad. Los tres proveedores mayoritarios de estos servicios, AOL, Yahoo! y Microsoft, han sufrido ya violaciones de privacidad y agujeros de seguridad'.
El principal fallo está en el funcionamiento entre cliente y servidor de la mensajería instantánea, según ISS. El programa cliente está instalado en el ordenador del usuario y el servidor, en las máquinas centrales del proveedor del servicio. Todos los datos y mensajes viajan del cliente al servidor y de éste al destinatario. Así, es posible espiar las conversaciones de dos personas de una misma empresa, sin necesidad de traspasar su cortafuegos, espiando los mensajes que entran y salen de la red corporativa. El estudio critica que las comunicaciones no van cifradas y es fácil romper las contraseñas.
Otro problema común a estos programas, según la empresa de seguridad de Atlanta, es que no esconden la dirección IP del ordenador, haciéndolo fácilmente localizable en la red. Si a eso se añade que muchos usuarios no configuran bien la compartición de archivos y permiten por error el acceso a directorios confidenciales, la puerta está abierta para los intrusos.
Los virus empiezan a campar a sus anchas en las redes de mensajería instantánea: AOL Instant Messenger (AIM) ya tiene el suyo propio, llamado Aplore. Y en ICQ corre Goner. Y Choke, en MSN Messenger.
La conclusión de ISS es que, sin necesidad de virus, estos programas ya son grandes agujeros de seguridad, especialmente si se instalan en ordenadores de redes corporativas, donde es difícil evitarlos. Yahoo! Messenger, por ejemplo, está especialmente diseñado para evadir filtros técnicos: si el cortafuegos no le deja conectarse a su puerto de entrada y salida habitual, automáticamente busca otros que no estén bloqueados. El estudio destaca los mismos peligros para los programas P2P de las redes Kazaa o Gnutella. Recomienda a los administradores de sistemas extremar las precauciones.
