Mientras la seguridad informática busca reponerse de los daños causados al protocolo de cifrado OpenSSL por
el gusano Heartbleed , se ha descubierto una nueva vulnerabilidad en OpenSSL, que permite que terceras personas espíen en las comunicaciones de los usuarios y ha estado abierta los últimos 10 años.
La Fundación OpenSSL ha publicado una
advertencia de seguridad para sus usuarios describiendo las 6 vulnerabilidades y ofreciendo los parches necesarios para solucionarlas. La más notoria es una vulnerabilidad que tiene 10 años de antigüedad y podría utilizarse para lanzar ataques de intermediario conocidos como “man-in-the-middle” en redes Wi-Fi públicas, en las que los atacantes podrían interceptar una conexión cifrada con OpenSSL, descifrarla y tener acceso a su contenido.
“Los atacantes pueden espiar y hacer falsificaciones en tus comunicaciones cuando tanto el servidor como el cliente son vulnerables”, explicó Masashi Kikuchi, un investigador de seguridad japonés de la empresa Lepidum, que descubrió la vulnerabilidad.
Vale la pena recalcar que las vulnerabilidades no permiten romper la seguridad de OpenSSL, sino aprovechar un descuido de los desarrolladores para evadirla. A diferencia de Heartbleed, que se podía utilizar para explotar cualquier servidor con OpenSSL, esta nueva vulnerabilidad necesita que el atacante se encuentre entre dos equipos que se están comunicando.
Los expertos aseguran que estas nuevas vulnerabilidades no son tan graves como Heartbleed, pero aun así es primordial que se instalen los parches lo antes posible. Algunos sistemas deben realizar pruebas para confirmar si son compatibles con los parches, por lo que se debe tomar en cuenta que esto podría dilatar el proceso de actualización.
Fuentes:
New Bug Found in Widely Used OpenSSL Encryption The New York Times
New OpenSSL flaw shakes faith in online security
The Sydney Morning Herald
OpenSSL parcha una vulnerabilidad de 10 años