Microsoft confirmó este sábado al sitio TechCrunch que fue víctima de un ataque informático dirigido a sus servicios de correo electrónico, y que comprometió información de un número hasta ahora indeterminado de cuentas de Hotmail, Outlook y MSN.
Microsoft advirtió el ataque en marzo de este año, y en un correo de notificación del ataque enviado a usuarios afectados, señaló que inició el 1 de enero. No obstante, una fuente conocedora del caso que pidió conservar el anonimato dijo al sitio Motherboard que la vulnerabilidad fue usada durante seis meses por los hackers y que la cifra de cuentas afectadas es 'elevada'.
Los piratas informáticos usaron las credenciales de un agente de soporte de la compañía, y usaron su cuenta para obtener acceso a la información relacionada con las cuentas de correo electrónico de los clientes, quedando expuestas las líneas de asunto de sus correos electrónicos y con quién se comunicaron, según se lee en el correo que Microsoft envió a los usuarios afectados.
"Este acceso no autorizado podría haber permitido a partes no autorizadas acceder y/o ver información relacionada con su cuenta de correo electrónico (como su dirección de correo electrónico, nombres de carpetas, líneas de asunto de los correos electrónicos y los nombres de otras direcciones de correo electrónico con los que usted se ha comunicado), pero no el contenido de todos los correos electrónicos o archivos adjuntos", se puede leer en el comunicado de Microsoft.
Pero la fuente citada por Motherboard aseguró que la vulneración fue mayor, y que los hackers pudieron tener acceso a los contenidos de los correos electrónicos.
En el mismo correo electrónico de notificación, Microsoft dijo que deshabilitó inmediatamente la cuenta de soporte al cliente comprometida una vez que la compañía descubrió el problema. Si bien Microsoft afirma que las credenciales de inicio de sesión de correo electrónico no fueron afectadas directamente por el ataque; sin embargo, recomendó a los usuarios cambiar sus contraseñas.
La compañía indicó que no tiene información sobre los motivos del ataque no del uso que pudieran dar los hackers a la información comprometida, por lo que advirtió a los usuarios que deben "tener cuidado al recibir correos electrónicos de cualquier nombre de dominio confuso, cualquier correo electrónico que solicite información personal o pago, o cualquier solicitud no solicitada de una fuente no confiable", para no ser víctimas de phishing, técnica usada por los ciberdelincuentes para obtener información confidencial como nombres de usuario, contraseñas y detalles de tarjetas de crédito haciéndose pasar por una comunicación confiable y legítima.
La fuente de Motherboard dijo que el ataque sólo afectó a las cuentas de consumo normales, pero no a las del servicio de paga de cuentas empresariales.
