Microsoft ha detectado que una vulnerabilidad del proceso de actualización de Skype permite a un potencial atacante obtener privilegios de acceso total al sistema, es decir, a cualquier rincón del sistema operativo. Lo extraño no es la aparición de un error de esta clase, sino la respuesta de la compañía propietaria del software: Microsoft ha anunciado que conoce este problema desde septiembre, pero que no piensa solventarlo en breve, pues requeriría de “demasiado trabajo”.

Según el investigador de seguridad Stefan Kanthak, el método concreto que permite atacar al instalador de Skype es el “DLL jihacking”‘ o “secuestro de DLLs”, que permite descargar una DLL maliciosa es un directorio temporal accesible por el usuario, y cambiarle el nombre, engañando al programa de videoconferencias para que cargue el código que proporciona en lugar de la DLL correcta. Y una vez se obtienen los mencionados privilegios de acceso al sistema, un atacante “puede hacer cualquier cosa”, afirma Kanthak, se convierte en un “‘administrador’ con esteroides”. Robar archivos, eliminar datos o retener datos mediante la ejecución de ransomware son sólo algunos ejemplos de las posibles consecuencias que podría tener un ataque.

Entonces… ¿cómo se explica que Microsoft no esté ya a punto de sacar la actualización de seguridad? Porque condiciona tanto el código del conjunto del programa que no se puede arreglar sin reescribir Skype desde cero, de modo que los esfuerzos de la compañía no se están centrando en solucionar esta vulnerabilidad, sino en desarrollar una nueva versión totalmente renovada del cliente de videoconferencia. Es de suponer que, una vez se lance, lo menos relevante de dicha versión sea la solución a este agujero de seguridad, pues Microsoft sin duda aprovechará para dotarlo de nuevas funcionalidades. En cualquier caso, aún no hay fecha oficial para el lanzamiento de este nuevo Skype.