23 años de la guerra secreta entre los ingenieros de Microsoft y AOL por MSN Messenger

Han pasado 23 años desde su lanzamiento, 15 desde que cambiara su nombre a Windows Live Messenger y 8 desde su desaparición sustituido por Skype, pero no hay ninguna aplicación de mensajería que despierte tanta nostalgia como MSN Messenger. Durante una década fue la preferida y la primera que hizo realidad el “siempre conectado” para muchos, llegando a su punto más alto en 2009 con 330 millones de usuarios. Después, un rápido declive hasta su cierre en tan solo cinco años.

La historia de MSN Messenger es parecida a la de muchas otras aplicaciones y servicios que encuentran el éxito durante un tiempo y terminan siendo superadas por los aciertos de otros y los errores propios, pero en este caso es reseñable la guerra secreta que mantuvieron los ingenieros de Microsoft contra los de AOL en los primeros meses de vida de la aplicación y que terminó con la victoria, a la larga pírrica, de los segundos.

En 1999, las aplicaciones de mensajería instantánea aún eran escasas, pero se estaban ganando a los usuarios rápidamente. AOL Instant Messenger (AIM), que era del principal proveedor de acceso a Internet en Estados Unidos, America On Line (AOL), la ponía a disposición de todos sus clientes y era la más usada. Le seguían, a bastante distancia, ICQ, posteriormente adquirida por AOL, y Yahoo Messenger.

Microsoft pidió a sus ingenieros, inicialmente un equipo de diez, que el nuevo servicio de mensajería que estaban desarrollando pudiera usarse con las cuentas de correo de Hotmailque el gigante de Redmon ya había adquirido, lo que permitiría acceder desde el primer momento a una amplia base de usuarios.

Pero la clave de su éxito inicial fue su interoperabilidad con AIM, una función que ni siquiera estaba prevista en el diseño inicial de la aplicación y que los ingenieros pensaron que no sería aceptada por Microsoft por considerarla una práctica “dudosa”.

David Auerbach, ingeniero de Microsoft que trabajó en el equipo de MSN Messenger en sus inicios, explicó hace unos años en un extenso artículo, Chat Wars, que “discutimos la posibilidad de agregar un código para permitir que Messenger inicie sesión en dos servidores simultáneamente, Microsoft y AOL, para que pueda ver a sus amigos de Messenger y AIM en una sola lista y hablar con amigos de AIM a través de Messenger”. En contra de sus previsiones, en Microsoft estuvieron de acuerdo en permitir que la aplicación pudiera comunicarse con los usuarios de AIM, de forma que estos tuvieran un aliciente para pasarse a MSN Messenger. El problema era cómo conseguirlo.

El protocolo de comunicación usado por AIM, OSCAR (Open System for Communication in Realtime) era propiedad de AOL y no había documentación sobre el mismo, al contrario de lo que sucedía con otros protocolos de comunicación de uso común en Internet. “No tenía la “clave” para decodificarlo. Pero lo que mi jefe y yo pudimos hacer fue registrarnos para obtener una cuenta de AIM y luego observar las comunicaciones entre el cliente de AIM y el servidor usando un monitor de red, una herramienta de desarrollo utilizada para rastrear las comunicaciones de red dentro y fuera de una computadora. De esa forma pudimos ver el protocolo que estaba usando AIM”, relató Auerbach.

Con esta información, fueron capaces de replicarlo y que MSN Messeenger pudiera comunicarse con los servidores de AIM. Cuando la aplicación fue lanzada el 22 de julio de 1999, permitía hablar tanto con los contactos de Hotmail como con los de AIM que aparecían unificados en la misma lista.

En AOl no se lo tomaron bien y comenzaron a bloquear las conexiones a sus servidores que se producían desde MSN Messenger, de forma que lo que encontraba el usuario de la aplicación de Microsoft cuando intentaba enviar un mensaje a un contacto de AIM era el aviso “Use un cliente de AOL autorizado en este enlace: [URL web].”

Para rechazar una conexión, AIM tenía que ser capaz de distinguir un mensaje de AIM de uno de MSN Messenger, por lo que Auerbach comenzó a estudiar los cambios que los ingenieros de AOL introducían en los mensajes de protocolo y los aplicaba inmediatamente para que los de MSN Messenger fueran idénticos a los de la plataforma de AOL al comunicarse con sus servidores.

En una ocasión, en AOL tuvieron la idea de introducir nuevos cambios pero no aplicarlos a las conexiones que se realizaban desde la sede de Microsoft, de forma que el equipo de Auerbach no veía los cambios que implementaban y afectaban al resto de los usuarios, pero no tardaron demasiado en darse cuenta de lo que estaba sucediendo.

El juego del gato y el ratón se mantuvo durante meses mientras MSN Messenger iba creciendo. Cada mañana, Auerbach comprobaba los cambios que AOL había realizado en AIM y adaptaba el cliente de MSN Messenger a los mismos hasta que un día encontró que AOL no había implementado ninguno. La situación se mantuvo tranquila para Microsoft durante una semana hasta encontrarse con un nuevo bloqueo por parte de los ingenieros de AOL, pero esta vez era diferente.

AOL no se había limitado a cambiar el protocolo para poder discernir las conexiones desde una u otra aplicación, sino que estaba explotando un agujero de seguridad de su propio software para que la comunicación no se pudiera realizar.

“Normalmente, estos mensajes de protocolo enviados desde el servidor a la aplicación se leen y entienden como datos, no como código. Pero el cliente de AOL tenía un error de seguridad, llamado desbordamiento de búfer. El búfer es un lugar donde un programa almacena temporalmente datos mientras ejecuta alguna operación. En este caso, los mensajes de protocolo muy grandes podrían inundarlo, sobrescribiendo el código del cliente y controlando arbitrariamente el funcionamiento del programa del cliente; por eso se llama desbordamiento de búfer y es un gran agujero de seguridad, ya que le da al servidor el control del programa. PC cliente”, explica Auerbach.

Ante la nueva situación, en Microsoft pensaron en hacerlo público para que AOL se viera obligado a parchear la vulnerabilidad, pero el resultado no fue el que esperaban. Richard M. Smith, experto en seguridad, recibió un mensaje de un supuesto Phil Bucking avisándole del uso que AOL estaba haciendo de la vulnerabilidad de su software. Sin embargo, los metadatos del correo revelaron a Smith que el aviso provenía de Microsoft y el tal Bucking no existía, algo que la compañía reconoció. La noticia ya no era la vulnerabilidad en el software de AOL sino que Microsoft había intentado desprestigiar a su rival bajo una identidad falsa.

MSN Messenger perdió la funcionalidad de comunicarse con los usuarios de AIM y el desbordamiento de búfer permaneció aún durante varias versiones más en la aplicación de AOL. MSN Messenger continuó creciendo y mantuvo una posición dominante como cliente de mensajería hasta que inicio su declive conforma los usuarios se decantaban por WhatsApp o las funciones de mensajería de las redes sociales. Cambió a Windows Live Messenger en 2005 y en 2013 fue sustituida por Skype, que había sido adquirida unos años antes por Microsoft. En China, el país donde tuvo más éxito tras Estados Unidos y último donde permanecía operativo, cerró en 2014.