La red social profesional LinkedIn cuenta con una serie de fallos de seguridad, detectados este fin de semana por un investigador de seguridad de Internet independiente en Nueva Delhi (India). Estos fallos están relacionados con la forma en que LinkedIn maneja un tipo de archivos conocidos como cookies.

Ante este fallo de seguridad la compañía BitDefender ha asegurado que “no se trata ni de una gran brecha ni de una vulnerabilidad” ya que LinkedIn es uno de tantos sitios web que ha llevado al máximo el tiempo de validación de las cookies, habiendo “literalmente miles de sitios web similares”.

Cuando un usuario introduce el nombre de usuario y la contraseña para acceder a una cuenta, el sistema de LinkedIn crea la cookie “LEO_AUTH_TOKEN” en el ordenador del usuario que sirve como clave para acceder a la cuenta. Esta cookie no tiene vencimiento hasta un año después a partir de la fecha de su creación.

La directora de marketing de BitDefender, Jocelyn Otero ha considerado peligrosas tanto aquellas cookies que tienen validez por un año como las que son válidas 24 horas, ya que siempre “un sniffer o interceptador” podría interceptar la cookie, entrar en la cuenta de la víctima y cambiar la contraseña o robar datos.

A este respecto, la experta sí ha reconocido que aquellas cookies válidas por 24 horas “son más seguras” ya que se invalidan por defecto, incluso si el usuario se olvida de cerrar la sesión.

Además, ha recordado que la interceptación sólo es posible cuando el usuario comparte la misma red sin cifrar con el atacante. “Mantente fuera de LinkedIn mientras navegues usando una red Wi-Fi sin cifrar y estarás a salvo”, ha indicado a Portaltic Otero.

Pese a esto, BitDefender recuerda que sería deseable que los periodos de validez de una cookie fueran menores, pero estas características son dictadas por los requisitos de usabilidad del sitio y realmente el riesgo está en comprobar el perfil de LinkedIn desde un ordenador público.

Fuente