Cuando Microsoft lanzó Windows 8, se centró en renovar completamente el clásico menú Inicio; introdujo la idea de las “tiles” o baldosas, grandes iconos que podían cambiar de manera dinámica. Por ejemplo, la app de Correo podía mostrar los asuntos de los últimos correos recibidos; o la app del Tiempo podía mostrar la previsión en tiempo real. Eso nos permite ver información sin necesidad de abrir la app.
Esta filosofía se llevó a Windows 10, con un nuevo menú Inicio que juntaba el diseño tradicional con las baldosas de información. Con el tiempo, se han convertido en algo que la mayoría de usuarios acepta, si bien no han logrado convencer a todo el mundo, y han quedado algo en el olvido. Incluso para la propia Microsoft.
Microsoft comete un error y permite modificar las “baldosas” del menú inicio
Y es que el investigador de seguridad Hanno Böck ahora ha descubierto que a Microsoft se le ha olvidado renovar un dominio importante para el funcionamiento de estas baldosas del menú inicio. Algo que podría haber tenido consecuencias desastrosas para muchos usuarios.
En concreto, Microsoft perdió el control sobre el subdominio notifications.buildmypinnedsite.com, que es el dominio que Microsoft había establecido para enviar notificaciones de sitios web a las baldosas del menú inicio de Windows 10. Este sistema de notificaciones funciona con el servicio buildmypinnedsite.com, que permite a cualquier página web adaptar su feed RSS para que sea compatible con esta funcionalidad del menú inicio.
La idea es que el usuario pueda añadir al menú inicio las páginas que más le interesen, y ver las últimas noticias publicadas directamente desde ahí. Para ello, lo único que tiene que hacer es visitar la página que quiera con el navegador Edge, y usar la opción “Anclar esta página a inicio”. El menú inicio se conectará automáticamente a notifications.buildmypinnedsite.com para que este servidor le envíe las últimas actualizaciones.
Un error que puede pagarse muy caro
Al perder el control de este subdominio, cabía la posibilidad de que cualquiera pudiese registrarlo a su nombre; eso le hubiera permitido recibir todas las peticiones de los ordenadores Windows 10 de todo el mundo y abusar el servicio para ataques maliciosos, según Böck.
El peligro no ha terminado. Böck ha configurado su servidor Azure para denegar todas las comunicaciones que llegan, pero la cantidad de tráfico que le llega es tan alta que no va a poder mantenerlo para siempre. Ya ha avisado a Microsoft, pero no ha recibido respuesta; por eso ha decidido hacer público su descubrimiento, con la esperanza de que la compañía vuelva a tomar el control del subdominio.
Por el momento, lo recomendable es eliminar estas baldosas si las tenemos, haciendo click derecho sobre ellas y pulsando en “Desanclar de inicio”. Además, se recomienda no instalar nuevas baldosas de sitios que sigamos hasta que este problema sea solucionado.