EXPERTOS AVISAN CONTRA
EL CORREO EN HTML
Mercè Molist
Las cada vez más
vulnerabilidades descubiertas en el correo HTML han llevado a algunos a
añadir nuevos puntos a la conocida "netiqueta" (normas que rigen
la relación social en Internet): "Los amigos no envían correo
HTML a los amigos. Los amigos no dejan a los amigos que usen 'Outlook'
o 'Navigator' para leer el correo. Si tú o tu amigo vais a romper
las normas, desactiva Javascript".
El lenguaje Javascript se ha convertido en un caballo de troya para las comunicaciones en HTML. Según un reciente aviso de la Privacy Foundation, con un pequeño Javascript añadido al código de un mensaje de correo, el atacante puede saber si éste es reenviado a otras personas, así como leer los comentarios y toda la conversación que se derive. Aunque no haya ocurrido aún abiertamente, la Privacy Foundation sugiere que esta forma de espionaje podría adaptarse a negociaciones empresariales, políticas, o simplemente para recopilar direcciones.
Según el descubridor del agujero, el ingeniero Carl Voth, lo preocupante es que "no importa que vayas con cuidado, que tomes todas las precauciones, que cierres el Javascript. Si mi vecino no lo hace y le envío un mensaje, sigo siendo vulnerable". No es éste el primer agujero descubierto en el lenguaje HTML y Javascript. Existen virus, como el español "Little Davinia", que se activan al visitar una página web. El Computer Emergency Response Team (CERT) avisaba ya en febrero del año pasado contra este código malicioso.
Entre las zonas peligrosas,
según el CERT, están los foros con interface web, nidos para
mensajes manipulados con algún código que se active al leerlos.
Lo mismo pasa con los enlaces. Los formularios pueden también ser
modificados para recabar información sensible. La única alternativa
es deshabilitar Javascript en los programas de correo y navegación.
Una tarea que, según destaca "The New York Times", requiere cinco
pasos en Netscape y quince en programas Microsoft.
Email Wiretapping
http://www.privacyfoundation.org/advisories/advemailwiretap.html
CERT
http://www.cert.org/tech_tips/malicious_code_FAQ.html