Skype sigue sin cifrar las bases de datos personales de los usuarios

Skype sigue sin cifrar las bases de datos personales de los usuarios

Rubén Velasco

Skype es el cliente de mensajería instantánea y VoIP desarrollado y mantenido por Microsoft y sucesor del conocido y utilizado MSN Messenger. Este cliente es muy utilizado tanto en empresas como por usuarios particulares por lo que la cantidad de datos personales y privados que puede gestionar es bastante elevada.

Hace ya más de un mes que en RedesZone os informamos de que se había detectado una vulnerabilidad grave en el cliente de mensajería de Microsoft, Skype, que almacenaba todos los datos personales de sus usuarios en los ordenadores de cada uno sin cifrar de manera que cualquiera podría hacerse con ellos de nuevo. Tal como podemos leer en Softpedia, esta vulnerabilidad sigue estando presente en las versiones más nuevas de Skype ya que los datos siguen estando expuestos un mes después del conocimiento y reporte del fallo de seguridad.

Las bases de datos podemos encontrarlas en los siguientes directorios (algunas de ellas están ocultas y debemos habilitar la opción de mostrar todos los archivos en nuestro sistema operativo):

  • Windows: C:UsuariosusuarioAppDataRoamingSkypeuser.id
  • Linux: /home/usuario/.Skype/nombreDeSkype
  • Mac OS: /User/user/library/Application Suport/Skype/user

Si un usuario malintencionado tiene intención de hacerse con los datos, simplemente necesita utilizar un archivo malicioso (troyano) para acceder al sistema de forma remota o tener contacto directo al ordenador para localizar las bases de datos de Skype en cuestión. Una vez que esta base de datos esté en poder del usuario se podrán utilizar programas como SQlite para abrir las entradas ya que se encuentran totalmente sin cifrar. Siempre podemos mejorar la seguridad en Skype con 2FA.

Algunos de los datos que un pirata informático podría conseguir de estas bases de datos de Skype son:

  • Nombre del usuario
  • Fecha de nacimiento
  • País
  • Ciudad
  • Dirección de correo electrónico
  • Números de teléfono
  • Historial de chat completo

Por el momento seguimos a la espera de que Microsoft actualice Skype y aplique definitivamente un cifrado de la base de datos. Mientras tanto es recomendable que si se utilizan datos comprometidos a través de Skype (por ejemplo a nivel empresarial) se deben eliminar periódicamente estas bases de datos (por ejemplo creando un script que se ejecute en cada encendido o apagado) o aplicar un cifrado completo del disco (o de las bases de datos siempre que no las vayamos a utilizar) con distintas herramientas como TrueCrypt para mantener dichas bases de datos seguras.

¿Qué opinas de este fallo de Skype? ¿Debería solucionarlo Microsoft?

Os recomendamos leer nuestro tutorial sobre cómo eliminar datos de personas de Internet.

1 Comentario