Outlook envió contraseñas en texto plano durante años; la responsable: una única casilla engañosa.
La atractiva interfaz de Microsoft impidió que los administradores detectaran las filtraciones.
Una actualización programada de los servidores Fedora ayudó inesperadamente a encontrar un problema antiguo en Outlook. El cliente de correo durante años pudo mostrar el cifrado SSL/TLS activado en la configuración, pero al mismo tiempo se conectaba al buzón mediante el antiguo puerto POP3 no cifrado. A esta anomalía, tras el cambio a Fedora 43, la señaló Marius Schwarz.
El problema salió a la luz después de la actualización de Fedora 42 a Fedora 43, con la cual el servidor POP/IMAP Dovecot pasó a la versión 2.4.3. La nueva versión requirió rehacer la configuración del servicio y dejó de aceptar contraseñas en texto claro a través de conexiones no seguras. Ese enfoque rompió el comportamiento antiguo del POP3, pero obligó a los clientes a usar un canal protegido.
Al día siguiente de la actualización, los usuarios comenzaron a contactar con soporte debido a constantes solicitudes de contraseña en Outlook. La comprobación mostró que estaban afectadas distintas versiones del cliente, incluyendo Outlook 2007 y una versión antigua para macOS. En todos los casos, en la configuración de la cuenta de correo figuraba el cifrado SSL/TLS activado, pero el programa seguía conectándose por el puerto 110, destinado a la conexión POP3 no cifrada habitual. Para POP3 seguro suele utilizarse el puerto 995.
Schwarz explicó que un cliente de correo correctamente configurado debe cambiar el puerto después de activar SSL/TLS o usar STARTTLS, cuando la conexión se abre primero de forma normal y luego pasa a modo protegido. Según él, Outlook simplemente ignoraba la opción seleccionada y no advertía al usuario de la transmisión de datos sin cifrado.
El autor de la publicación admite que Microsoft podría haber cambiado anteriormente la interfaz de Outlook y que el error afecta solo a cuentas antiguas creadas hace muchos años. El equipo de Fedora no pudo comprobar configuraciones nuevas porque no disponía de Outlook para probar. No obstante, la historia demuestra que incluso una casilla habitual en la configuración de seguridad no garantiza cifrado real, y que los cambios en el servidor a veces revelan problemas que llevan décadas.