19/09/2011
Casi todos los sitios web que requieren datos del usuario usan
un protocolo de seguridad llamado Secure Sockets Layer (SSL),
que permite que la interacción que realizas con un sitio web no
sea infiltrada por un tercero (por ejemplo, cuando ingresas tu
contraseña a tu servicio de correo o haces una transacción
bancaria).
Ahora, los investigadores Thai Duong y Juliano Rizzo dicen haber
logrado vulnerar este sistema, lo que les permitiría
desencriptar los datos que se transfieren entre un servidor y el
navegador que está usando el usuario. Los investigadores harán
público su descubrimiento esta semana, lo que podría tener
graves consecuencias.
El problema está en el transport layer security (TLS), la nueva
generación de SSL. La versión vulnerable es TLS 1.0, y aunque
existen las versiones 1.1 y 1.2 que no se verían afectadas, casi
ningún navegador las soporta y prácticamente todos los sitios
web siguen usando la versión 1.0.
Los investigadores harán una demostración su descubrimiento en
la conferencia Ekoparty en Buenos Aires esta semana. Se trata de
un par de líneas de JavaScript que funcionan como un espía de la
red, que permite descifrar las cookies encriptadas usadas por un
determinado sitio para otorgar acceso restringido a la cuenta de
un usuario.
Se espera que los navegadores lancen parches en los próximos
días para atacar este problema. También podría funcionar como
impulso para que los sitios se actualicen a TLS 1.2.
La vulnerabilidad probablemente aumentará todavía más los
llamados que se han estado haciendo últimamente para mejorar el
frágil ecosistema SSL. Recientemente, las empresas DigiNotar y
Comodo, emisoras de certificados SSL que permiten validar el
sistema, fueron víctimas de hackeos, emitiendo certificados
falsos que permitirían a un extraño inmiscuirse en las
comunicaciones de miles de usuarios.