CNET también está disponible en español.

Ir a español

Don't show this again

Industria de la tecnología

Microsoft dice que dos apps podrían filtrar códigos privados: reporte

Ambas aplicaciones son del desarrollador alemán Sennheiser, según ZDNet.

Microsoft Corporation Technology company logo seen displayed

Microsoft ha advertido a los usuarios de la vulnerabilidad de dos aplicaciones de terceros para su sistema operativo.

Getty Images

Dos aplicaciones, HeadSetup y HeadSetup Pro, ambas desarrolladas por la firma alemana Sennheiser, podrían ser utilizadas por terceros para extraer claves privadas de los usuarios, según un reporte de ZDNet.

En su reporte, ZDNet explica que Microsoft emitió un anuncio de seguridad el miércoles en el que advierte que estas dos aplicaciones instalaron accidentalmente dos certificados raíz en las computadoras de los usuarios, y que podrían así filtrar las claves privadas de los mismos a terceros. ZDNet es un sitio hermano de CNET y CNET en Español.

Estas dos aplicaciones, que son utilizadas para realizar llamadas de voz y video, son inofensivas a priori, pero terceros malintencionados podrían hacer uso de esta vulnerabilidad para hacerse con las claves de los usuarios que las instalen. Según el reporte, esta vulnerabilidad salió a la luz a principios de este año, gracias a la investigación de la firma alemana de seguridad cibernética, Secorvo.

En un informe publicado el miércoles, los investigadores de Secorvo publicaron un código de prueba que muestra lo sencillo que sería para un atacante analizar los instaladores de ambas aplicaciones y extraer las claves privadas de los usuarios.

El informe de Secorvo también señala que los certificados raíz también afectan a los usuarios de Mac, a través de las versiones de la aplicación HeadSetup macOS, y no se eliminan del sistema operativo ni durante las actualizaciones actuales de HeadSetup ni con operaciones de desinstalación.

Según explican los investigadores "todos los sistemas en los que HeadSetup se haya instalado en algún momento en el pasado siguen siendo vulnerables actualmente hasta que los certificados expiren, lo que podría ser el 13 de enero de 2027 y el 27 de julio de 2037, respectivamente".

Sennheiser, el proveedor de las aplicaciones, ha admitido la falla y dijo que ya eliminó ambas aplicaciones de la sección de descargas de su sitio Web mientras trabaja en una actualización que espera lanzar esta misma semana. Según la compañía, la actualización eliminará los certificados raíz de los sistemas afectados y los reemplazará por otros nuevos que no vulneren las claves privadas.

Si tienes instalado el software Sennheiser HeadSetup deberás actualizar las aplicaciones tan pronto como las actualizaciones estén disponibles. 

Reproduciendo: Mira esto: Facetime grupal: Nuestra primera prueba
1:38