Hotmail es el servicio gratuito y universal de correo electrónico ofrecido por Microsoft. Permite leer correo electrónico mediante un lector web (browser) desde cualquier lugar del mundo, requiriéndose únicamente un nombre de usuario y una contraseña. Es un sistema muy adecuado si el acceso a Internet se realiza desde máquinas diferentes, como por ejemplo desde el trabajo, lugar de estudios, hogar o bibliotecas.
Sin embargo, el excelente servicio cuenta ahora con un enemigo: un código de JavaScript que hurta la contraseña del usuario, haciendo que su cuenta de correo electrónico quede a entera disposición del intruso. El sistema funciona de la siguiente manera: el intruso envía a un usuario de Hotmail un mensaje de correo electrónico que lleva insertadas instrucciones en JavaScript. Cuando la víctima abre el mensaje, el código de JavaScript es ejecutado. Este indica al afectado que ha ocurrido un time-out y que deberá volver a conectarse a Hotmail. Al seguir tales instrucciones, el código capta el nombre de usuario y la contraseña, enviándolas por mensaje aparte al intruso.
El procedimiento ha sido revelado por el sitio seb de Because-we-can, cuyo representante Tom Cervenka señala que al tener el control de la cuenta de correo electrónico, el intruso puede cambiar la contraseña o enviar mensajes a nombre del usuario afectado. Evidentemente, también es posible leer mensajes anteriores, en que se proporcione, por ejemplo, nombres de usuario y contraseñas para otros servicios.
El intruso ni siquiera necesita una cuenta propia, identificable, de correo electrónico. Es suficiente contar con una cuenta gratuita en otro servicio similar a Hotmail. El sistema funciona con cualquier lector web que esté en condiciones de ejecutar JavaScript, es decir, Internet Explorer o Navigator de Netscape, entre otros.
Según Wired News, Hotmail admite que el código funciona, a la vez que ha prometido solucionar el problema a la mayor brevedad.
Hasta que Hotmail encuentre una solución definitiva, los usuarios de Hotmail pueden protegerse configurando su lector web para que no ejecute JavaScript. También es conveniente no abrir correo electrónico de desconocidos.
Según Cervenka, es muy posible que los demás servicios gratuitos de correo electrónico también se vean afectados por troyanos basados en JavaScript.
