Mostrando entradas con la etiqueta openssl. Mostrar todas las entradas
Mostrando entradas con la etiqueta openssl. Mostrar todas las entradas

martes, 8 de abril de 2014

Las comunicaciones seguras en la web, en peligro

Un equipo de investigadores ha descubierto un fallo en OpenSSL, el protocolo de cifrado de datos más popular de la red. Un error, presente desde hace dos años, que abre la puerta al robo masivo de la información confidencial que viaja por la red. Aunque sus responsables ya han publicado un remedio, y piden una actualización rápida de todos los servidores, consideran imposible determinar el alcance del real de sus consecuencias. Durante los últimos 25 meses, casi cualquier comunicación de la red ha podido ser, afirman, interceptada.
«Es probable que te haya afectado, directa o indirectamente», explican los autores del descubrimiento en una página web creada para divulgar el fallo. «OpenSSL es la librería criptográfica de software libre, y la implementación de la ‘capa de transporte seguro’ más populares para cifrar datos en la red». Se calcula que, al menos dos tercios de todos los servidores conectados a internet son vulnerables. «Tu red social, la web de tu empresa, la tienda online, el lugar desde el que instalas software o incluso páginas web gubernamentales podían estar usando el OpenSSL vulnerable», aclaran.
OpenSSL es un conjunto de herramientas que permiten establecer una comunicación –supuestamente– segura entre dos puntos de la red. El error descubierto, al que han denominado ‘Heartbleed’ –‘sangrado de corazón’–, no solo afecta a las páginas y los navegadores web de los usuarios, sino a servidores de correo, y a toda clase de aplicaciones de mensajería. También a otros muchos servicios. «Afortunadamente muchas grandes páginas web se salvan por su política conservadora con sus equipos y software», aclaran los investigadores. «Irónicamente, servicios más pequeños y más modernos, o aquellos que se han actualizado a las últimas versiones, están más afectados».
El fallo, explican los investigadores, no está en el diseño de OpenSSL, sino en su implementación. Un fallo de programación no detectado hasta ahora, y que permitía a un atacante obtener las claves de cifrado. «Las joyas de la corona. Estas claves permiten a un atacante descifrar cualquier tráfico pasado o futuro de los servicios protegidos, así como hacerse pasar por el servicio en sí», explican. A partir de estas, un atacante puede acceder a nombres de usuario, contraseñas y cualquier documento que se haya intercambiado entre dos nodos cualquiera de la red que usasen OpenSSL.
Para colmo, un atacante que conociese este fallo en OpenSSL podría pasar completamente inadvertido. No se sabe si alguien lo había identificado antes que este grupo de investigadores –de Google y de la empresa de seguridad Codenomicon– y, por las características del error, no se puede saber. «La comunidad de la seguridad informática debería plantar trampas para detectar a posibles atacantes», sentencian.