Autores
Se ha encontrado una vulnerabilidad de cifrado que abre la posibilidad de espiar las actividades de los usuarios en sitios HTTPS, lo que da una falsa ilusión de seguridad cuando se navega en sitios que dicen ser seguros. La vulnerabilidad tiene una relación indirecta con una regulación estadounidense que obligaba a reducir la potencia del cifrado de los productos que se vendían fuera del país.
La vulnearbilidad “Logjam” fue descubierta por investigadores estadounidenses y franceses de Inria Nancy-Grand Est, Inria Paris-Rocquencourt, Microsoft Research y las universidades Johns Hopkins, Michigan y Pennsylvania.
Se cree que el 8% de los sitios HTTPS más populares están afectados por esta amenaza. Algunos servidores de correo electrónico que emplean el protocolo de cifrado Transport Layer Security (TLS) también pueden correr peligro si no están actualizados.
La vulnerabilidad es un daño correlativo de una regulación que Estados Unidos implantó en 1990, en la que prohibía a las compañías que exportaran productos con llaves de cifrado fuertes como medida de seguridad nacional. Por esta razón, los productos se distribuían con llaves de cifrado de 512 bits, un cifrado fácil de romper.
La regulación ya no está en efecto, pero todavía existen productos que admiten el cifrado de 512 bits que se popularizó a causa de esta ley. Un atacante podría explotar la vulnerabilidad Logjam alterando las comunicaciones entre el navegador web y el servidor. Por lo general, ambos se comunican para seleccionar el algoritmo más fuerte, pero la vulnerabilidad permite que un atacante engañe al servidor haciéndole creer que está usando un cifrado resistente, cuando en realidad está usando el más débil para proteger su contenido. El atacante puede aprovechar esta confusión para recolectar el tráfico con protección débil y decodificarlo en cuestión de minutos.
“Se trata de una falla en el protocolo SSL que ha estado rondando por casi dos décadas”, explicó Matthew D. Green, asistente de investigación de la Universidad John Hopkings, una de las que descubrió el problema.
Los investigadores descubrieron la vulnerabilidad hace algunas semanas, pero han estado intercambiando información sobre ella en silencio para evitar que se explote antes de que se haya encontrado la forma de parcharla. Microsoft parchó Internet Explorer la semana pasada y los navegadores Firefox y Safari también van a lanzar sus parches muy pronto.
Los expertos en seguridad y defensores de la privacidad aprovecharon para recalcar el rol de las leyes en la seguridad de Internet. “Logjam sirve como moraleja para las autoridades y líderes que están bajo presión del gobierno para debilitar los cifrados”, opinó Bob West, portavoz de la compañía de productos de seguridad en la nube CipherCloud. “Al diluir la resistencia del cifrado para un grupo se genera una vulnerabilidad que cualquiera puede explotar. Nuestros derechos humanos, privacidad y economía saldrán perjudicados si se crean puertas traseras en las soluciones de cifrado”.
Fuentes
Autores
De los mismos autores
En la misma categoría
Una vulnerabilidad de cifrado destaca el rol de las leyes en la seguridad de Internet