Un investigador ha descubierto un fallo que permite a cualquiera suplantar correos electrónicos corporativos de Microsoft, haciendo que los intentos de phishing sean más creíbles y potencialmente más efectivos.

Un investigador de seguridad ha encontrado un fallo que permite a cualquiera suplantar correos electrónicos de cuentas corporativas de Microsoft, aumentando la credibilidad de los intentos de phishing y, por ende, la probabilidad de engañar a los destinatarios. A la fecha de esta publicación, el bug no ha sido corregido. Para demostrar el fallo, el investigador envió un correo electrónico a TechCrunch que parecía provenir del equipo de seguridad de cuentas de Microsoft.

La semana pasada, Vsevolod Kokorin, conocido en línea como Slonser, escribió en X (anteriormente Twitter) que descubrió el bug de suplantación de correo electrónico y lo informó a Microsoft, pero la empresa desestimó su reporte alegando que no pudieron reproducir sus hallazgos. Esto llevó a Kokorin a hacer público el fallo en X, sin proporcionar detalles técnicos que pudieran ayudar a otros a explotarlo.

«Microsoft simplemente dijo que no pudieron reproducirlo sin proporcionar ningún detalle», dijo Kokorin a TechCrunch en una conversación en línea. «Microsoft podría haber notado mi tuit porque hace unas horas reabrieron uno de mis informes que había enviado hace varios meses.

El bug, según Kokorin, solo funciona cuando se envía el correo electrónico a cuentas de Outlook. Aún así, eso representa un grupo de al menos 400 millones de usuarios en todo el mundo, según el último informe de ganancias de Microsoft.

Kokorin dijo que la última vez que siguió el caso con Microsoft fue el 15 de junio. Microsoft no respondió a la solicitud de comentarios de los medios especializados el martes.