LinkedIn, la red social profesional, salió a bolsa el pasado viernes y, según cuentan las crónicas, llegó a duplicar su valor en su primer día en el parqué. La verdad es que sorprende, y mucho, la estupenda acogida de los inversores en plena época de recesión y los valores, casi de infarto, que se llegaron a alcanzar y que tienen cierto aire a burbuja tecnológica. Curiosamente, este fin de semana, LinkedIn no sólo ha trascendido por su salida a bolsa sino que, además, ha cobrado notoriedad tras las afirmaciones de un experto en seguridad que, según dice, habría encontrado un fallo de seguridad en esta red que permitiría el robo de identidades.
Rishi Narang, un consultor independiente en materia de seguridad, afirmó que había encontrado un problema en cómo manejaba LinkedIn las cookies. Cuando un usuario se valida en esta red social, se crea una cookie, LEO_AUTH_TOKEN, que sirve para identificar al usuario todas las demás veces que accede al portal y que, además, tiene una fecha de caducidad demasiado alta: un año. Según Narang, alguien con acceso al equipo podría robar esa cookie de sesión o, simplemente, desde una red wifi insegura (por ejemplo, con Firesheep).
Lógicamente, LinkedIn no ha tardado mucho en contestar asegurando que les preocupa, y mucho, la seguridad de los datos de sus usuarios, además de anunciar que están trabajando para mejorar esta situación:
> LinkedIn se toma la privacidad y seguridad de nuestros miembros en serio. Si usted utiliza LinkedIn o cualquier otro sitio, siempre es una buena idea elegir redes de confianza y/o redes Wi-Fi cifradas o bajo una VPN, siempre que sea posible
LinkedIn aseguró que su red, actualmente, soporta SSL si bien es cierto que las cookies de sesión no están cifradas y que, por tanto, son susceptibles de ser interceptadas. Además, también comentaron que el siguiente paso que darán será el de la inclusión del soporte para opt-in SSL en otras partes de su red, incluyendo el cifrado de las cookies, dando así solución a este hecho.
Independientemente de la respuesta de LinkedIn, creo que este anuncio, que por cierto no descubre nada nuevo sobre el funcionamiento de LinkedIn (eso de estar siempre validado), me parece más ligado al oportunismo que a otra cosa y, quizás, demasiado certero en el tiempo si tenemos en cuenta la salida a bolsa de la compañía. Es más, otros expertos en seguridad, como BitDefender, ni lo consideran vulnerabilidad ni tampoco una alarmante brecha de seguridad porque tanto este como otros tantos sitios web funcionan de esa forma, tanto si la cookie dura un día como si dura un año.
En cualquier caso, aunque tengamos la sesión iniciada, muchas de las acciones requieren la introducción, de nuevo, del usuario y la contraseña del servicio, por lo que aunque te roben las cookies tampoco es que te puedan hacer mucho destrozo, si bien es verdad que, independientemente del destrozo, o no, que le puedan hacer a tu perfil, esto sólo podría pasar si, por ejemplo, nos conectásemos a una red wifi sin proteger y alguien interceptase nuestra sesión. Según la directora de Marketing de BitDefender, Jocelyn Otero:
> Mantente fuera de LinkedIn mientras navegues usando una red Wi-Fi sin cifrar y estarás a salvo
En definitiva, me parece demasiado oportunista lanzar este anuncio de vulnerabilidad justo cuando la compañía acaba de salir a bolsa, sobre todo, cuando es algo de lo que estábamos avisados cuando Firesheep nos hizo temblar a todos allá por el mes de noviembre.