29 de mayo de 2025

Cuidado al subir archivos desde OneDrive a ChatGPT, Zoom o Slack: podrías exponer todo tu contenido

El problema está en cómo OneDrive gestiona los permisos

Microsoft ofrece una herramienta llamada OneDrive File Picker, que permite a las aplicaciones web acceder a los archivos almacenados en tu cuenta de OneDrive. Su función es práctica: el usuario elige un archivo desde su nube y lo comparte con la app. Hasta ahí, todo bien. El problema es que esta herramienta solicita permisos excesivos.

Según un informe de la firma Oasis Security, cuando una aplicación utiliza el File Picker de Microsoft para que un usuario suba un archivo, en realidad puede obtener acceso de lectura (y en algunos casos, escritura) a toda la cuenta de OneDrive del usuario, no solo al archivo que elige compartir.

Una experiencia engañosa para el usuario

Lo más preocupante es que el diseño de la interfaz de File Picker genera una falsa sensación de seguridad. El usuario cree que está compartiendo solo un archivo específico, pero en realidad está entregando una llave maestra. En palabras de Vijay Dilwale, consultor de seguridad en Black Duck, el sistema hace parecer que solo se comparte el archivo seleccionado, cuando la aplicación recibe permisos mucho más amplios.

OAuth mal implementado: el talón de Aquiles

El corazón del problema está en la implementación del protocolo OAuth, un sistema de autorización que debería permitir conceder accesos limitados. Sin embargo, la versión usada por OneDrive File Picker no ofrece permisos granulares, lo que impide restringir el acceso a un solo archivo.

Esto significa que cuando una aplicación solicita permiso para «subir» o «descargar» un archivo, está en realidad solicitando acceso total. En su versión 7.0, por ejemplo, File Picker pide permisos tanto de lectura como de escritura durante el proceso de carga. Esto convierte a cualquier app que use esta herramienta en un potencial punto de fuga de datos.

Riesgos reales: de la empresa al atacante

El impacto va mucho más allá de la teoría. Si un atacante consigue explotar esta situación, podría tener acceso completo a todos los archivos personales o corporativos de una cuenta, incluyendo documentos confidenciales, hojas de cálculo financieras o archivos legales. Más aún, muchas apps almacenan los tokens de acceso sin cifrado, lo que multiplica el riesgo.

Como señala Jason Soroko, investigador de Sectigo, esta situación configura una trampa OAuth con privilegios excesivos, y representa una amenaza tangible para la seguridad de datos tanto personales como empresariales.

Las aplicaciones afectadas: más comunes de lo que crees

Algunas de las aplicaciones que podrían verse afectadas incluyen:

  • ChatGPT (versión 8.0 del File Picker)
  • Slack
  • Zoom
  • ClickUp
  • Trello
  • Phenome (herramienta de reclutamiento)

El riesgo es mayor en entornos empresariales, donde se manejan archivos sensibles. Por ejemplo, subir un currículum desde una cuenta corporativa podría exponer toda la carpeta de Recursos Humanos.

Microsoft ha sido notificada, pero aún no actúa

Oasis informó a Microsoft sobre este problema, y la empresa reconoció la situación, pero no ha implementado cambios ni ofrecido una solución definitiva. Mientras tanto, la responsabilidad cae sobre los desarrolladores y usuarios.

Recomendaciones para evitar la exposición

Mientras Microsoft decide si modifica su herramienta, hay varias acciones que usuarios y desarrolladores pueden tomar:

  • Evitar el uso del File Picker de OneDrive en procesos de carga de archivos.
  • Utilizar enlaces compartidos de «solo lectura», en lugar de subir directamente archivos desde OneDrive.
  • Explorar alternativas como Google Drive o Dropbox, que no presentan esta falla.
  • Configurar políticas de acceso condicional, que bloqueen apps que pidan permisos más allá de lo necesario.
  • Gestionar cuidadosamente los tokens OAuth, aplicando el principio de menor privilegio y almacenándolos de forma segura.

Este caso es un recordatorio de que la comodidad no debe ir por delante de la seguridad. En un ecosistema donde las apps SaaS se integran entre sí constantemente, cada autorización cuenta. Conceder acceso sin revisar cuidadosamente los permisos puede terminar abriendo la caja de Pandora digital.


☞ El artículo completo original de Natalia Polo lo puedes ver aquí
Publicado a las 10:20 a.m.

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)