Un joven de 13 años hackea Microsoft Teams y reescribe las reglas de su programa de seguridad global

Tanto si teletrabajas como si acudes a una oficina de manera presencial, es muy probable que utilices Teams. Esta herramienta de Microsoft es una plataforma para organizaciones que facilita la comunicación, el uso compartido de archivos y la colaboración en tiempo real entre compañeros de trabajo. En los ordenadores que vienen de serie con Windows 11 (actualmente, la inmensa mayoría), Microsoft Teams suele estar preinstalado.

Aunque Teams es uno de los ojitos derechos de Microsoft (es la segunda aplicación más utilizada para videollamadas con un 32,39%, por detrás de Zoom) y, por ello, la compañía le presta mucha atención para garantizar su seguridad, ningún software es infalible. Lo que no esperaba la compañía cofundada por Bill Gates es que un adolescente lograra hackear una vulnerabilidad crítica del programa.

El descubrimiento del joven ha obligado a Microsoft a cambiar las reglas de su programa de recompensas por errores para permitir la participación de investigadores adolescentes. Porque da igual la edad que se tenga: si logras descubrir un fallo importante, tienes derecho a recibir una recompensa.

Un adolescente, uno de los principales colaboradores de ciberseguridad de Microsoft

Los bug bounty, también conocidos como programas de recompensas por errores, son programas donde organizaciones como Microsoft o Apple ofrecen recompensas a usuarios que encuentran y reportan vulnerabilidades de seguridad en sus sistemas y software. Los investigadores utilizan sus habilidades para identificar los fallos que pueden ser explotados por atacantes maliciosos y, a cambio, suelen recibir una compensación monetaria por su ayuda.

El protagonista de esta historia es Dylan, un estudiante de secundaria que se adentró en los bug bounty cuando solo tenía 13 años. Empezó a interesarse por los ordenadores muy joven, programando con Scratch (una plataforma de programación visual para niños) antes de pasarse a HTML y otros lenguajes. Para quinto de primaria, era capaz de analizar el código fuente de las plataformas educativas y comprobar sus limitaciones.

Durante el confinamiento por la COVID-19, su colegio impidió a los alumnos crear reuniones por Teams, pero Dylan encontró una solución alternativa con Outlook. "No se trataba de saltarse las normas, sino de ayudar a los compañeros a mantenerse conectados en tiempos de aislamiento", explicó Microsoft en un post de su blog.

Sin embargo, el punto de inflexión se produjo cuando a los estudiantes también se les prohibió crear chats de Teams, momento en el que se adentró en el campo de la ciberseguridad. Durante los nueve meses siguientes, aprendió por su cuenta los fundamentos de la investigación en seguridad, llevándolo a descubrir un fallo crítico que le permitía controlar por completo los grupos de Teams.

En lugar de hacer el «mal» con su descubrimiento, reveló la vulnerabilidad a Microsoft. El informe del adolescente fue bien recibido por la compañía, que incluso actualizó su programa de recompensas por errores para permitir la participación de investigadores de tan solo 13 años. Dylan no se detuvo ahí: continuó presentando informes hasta convertirse en un colaborador habitual de MSRC (Microsoft Security Response Center).