Hotmail, el servicio de correo gratuito de Windows Live, nunca se ha caracterizado precisamente por ser un sistema particularmente seguro. Para colmo, debido a que millones de personas lo usan en todo el mundo, es objetivo de los spammers y creadores de software malicioso para «robar» el acceso a cuentas de correo y utilizarlas de forma ilegítima. Hotmail lo usa gente de todas las edades y dado que por su sencillez no requiere grandes conocimientos de informática ni seguridad, resultan especialmente vulnerables.
Además, al estar conectado con el Messenger y otros servicios resulta ser una puerta de entrada relativamente fácil para capturar información relevante mediante el robo de contraseñas que pueda usarse en otros sitios.
Debido a las mejoras de los sistemas anti-spam en los últimos años, la mejor forma que tienen los spammers de enviar sus mensajes molestos es hacerse con cuentas legítimas y perfectamente válidas que no puedan ser detectadas. De este modo, la empresa que opera el servicio no puede identificar ni cerrar dichas cuentas, desde las que se envían a veces miles de mensajes diarios.
Para hacerse con el control de las cuentas, los atacantes buscan contraseñas comunes utilizando palabras del diccionario, software que copia todo lo que se teclea en el ordenador (por ejemplo en los cibercafés) y otros tipos de ingeniosos y malévolos sistemas. Una vez interceptada una cuenta, pueden usarla incluso al mismo tiempo que el usuario real: enviando y borrando los mensajes enviados para que no los vea el propietario, o generando «mensajes de auto-respuesta» como los que se ponen en vacaciones para conseguir hacer rebotar correos falsos que llegan a otros usuarios desde una cuenta en apariencia real y válida.
En estos días Microsoft está añadiendo una serie de nuevas características al servicio para mejorar las funciones de seguridad. Hasta ahora procuraban detectar los mensajes de correo basura y phising, bloquear las cuentas a las que se intentaba acceder con contraseñas erróneas varias veces e incluso se protegió todo el servicio empleando una conexión SSL que protege las comunicaciones entre el navegador y el servidor.
A partir de ahora el sistema detectará la actividad sospechosa de algunas cuentas y las bloqueará si sospecha que la están usando a la vez varias personas, es decir, un usuario legítimo y un spammer. Ese sistema automático es transparente para los usuarios del servicio y también detecta otros patrones inusuales de comportamiento. Cuando esto sucede el usuario debe reactivar la cuenta.
Para recuperar las cuentas también se han mejorado los sistemas que había hasta el momento. Ahora se puede definir un «ordenador de confianza» asociado a cada cuenta de Hotmail de modo que la cuenta sólo pueda reactivarse desde allí. Y como última opción, se puede definir también un teléfono móvil al que se enviará un código especial por SMS, que habrá que teclear para recuperar la cuenta.