Si pensabas que añadir una contraseña a un archivo comprimido antes de subirlo a la nube evitaría que terceros accederían al contenido, tenemos malas noticias. Microsoft estaría buscando malware en los archivos ZIP protegidos que los usuarios envían a servicios como Sharepoint o Microsoft 365. Andrew Brandt, un investigador de seguridad de Sophos, confirmó lo anterior al descubrir que la tecnológica bloqueó el acceso a documentos en su cuenta.

Brandt compartió una captura de pantalla que muestra la advertencia de que uno de los documentos cifrados contiene malware. "Aparentemente, Microsoft Sharepoint ahora tiene la capacidad de escanear dentro de archivos protegidos por contraseña", dijo en su perfil de Mastodon. "Esta mañana, descubrí que un par de Zips protegidos con contraseña están marcados como 'Malware detectado', lo que limita lo que puedo hacer con esos archivos; ahora son básicamente espacios muertos", mencionó.

De acuerdo con Kevin Beaumount, analista de ciberseguridad, Microsoft utiliza un listado de contraseñas populares o las extrae del cuerpo del correo. En el caso de los archivos de Brandt, el password e "infectado", por lo que el sistema accedió al contenido y detectó el malware. Anteriormente, el investigador había realizado copias de seguridad de archivos maliciosos en OneDrive, solo para descubrir que el servicio los bloqueó en la nube y los eliminó de su ordenador.

Archivos ZIP protegidos por contraseña que Microsoft escanea en busca de malware

El jefe de Sophos X-Ops considera que la práctica de escanear archivos protegidos con contraseña es una intromisión. Brandt indicó que esto se volverá un gran problema para analistas de seguridad que requieren enviar muestras de malware a sus colegas. Si bien compartir este tipo de contenido por Sharepoint no es lo más recomendado, el suceso abrió una caja de Pandora y algunos usuarios se preguntan si Microsoft fue demasiado lejos.

¿Protección contra malware o invasión a la privacidad de Microsoft?

Archivos comprimidos en ZIP

El análisis en busca de malware es algo que lleva algunos años implementado en los servicios de correo electrónico y de almacenamiento en la nube. Algunos investigadores comentaron que la práctica de revisar archivos protegidos con contraseñas débiles es común. "Los actores maliciosos utilizan OneDrive/Sharepoint para compartir malware, por lo que para el consumidor es bueno si se inspecciona" dijo Beaumont.

No obstante, algunos consideran que es una invasión a la privacidad. "Aquí se está cruzando un poco el límite de la ética cuando comienzan a entrar en archivos y archivos bajo el pretexto de seguridad", dijo el usuario USB Type-Steve.

A la fecha, Microsoft no ha emitido una postura sobre estos hechos, mientras que Google dijo a ArsTechnica que no analizan archivos protegidos con contraseña.

A veces, los correos tienen archivos adjuntos que incluyen software malicioso que los programas antivirus tradicionales no detectan. Para identificar estas amenazas, Gmail puede analizar o ejecutar los archivos adjuntos en un entorno virtual denominado "entorno aislado de seguridad". Los archivos adjuntos identificados como amenazas se envían a la carpeta Spam del destinatario.

La web de Google Workspace ofrece información sobre la metodología que utiliza Gmail para realizar su análisis. Entre los tipos de archivos que se envían al entorno aislado se encuentran los ejecutables de Microsoft, documentos de Office o PDF, así como archivos comprimidos en ZIP o RAR.