Los años 90 tienen la culpa de FREAK, un nuevo fallo de seguridad en HTTPS
Se ha descubierto FREAK, una nueva vulnerabilidad en HTTPS que afecta a una buena cantidad de navegadores. Lo peor es que proviene de un problema de los 90.
4 marzo, 2015 10:34Noticias relacionadas
- Cómo un informático puso "bombas lógicas" en las hojas de cálculo de Siemens para que pareciesen bugs y recibir más trabajo
- Huawei diseñó una red de telefonía pensada para espiar a los usuarios (y para quién era no te sorprenderá) (ACTUALIZADO)
- El nuevo doodle de Google celebra el aniversario del Apolo 11 y la llegada a la Luna
- Cuando veas porno vigila la puerta... y la privacidad: Google y Facebook saben lo que ves
Cometimos muchos errores en la década de los 90, como los colores estridentes en la ropa, el acceso a Internet por módem, las reposiciones de Los Vigilantes de la Playa, y FREAK, un gran fallo de seguridad en HTTPS.
En aquella época el gobierno estadounidense empezó a darse cuenta de que el próximo campo de batalla sería en la red; algún genio se dio cuenta de que si las compañías creaban productos demasiado seguros las fuerzas del país no podrían descifrarlos, así que se estableció una prohibición a la exportación de “cifrado fuerte”.
El resultado es que muchos programas tenían dos versiones, una con algoritmos potentes de cifrado para el mercado de EEUU y otra sin ellos para el resto del mundo, aunque al final la mayoría de desarrolladores sólo crearon la versión insegura.
FREAK es un monstruo que vuelve del pasado
Aunque esa prohibición se perdió a finales de la década, ya había hecho mucho daño. El uso de cifrado inseguro ya había quedado como el estándar del mercado y aunque en los años siguientes ha mejorado mucho en ese sentido, por razones de compatibilidad muchos navegadores y servidores actuales siguen aceptando métodos inseguros para comunicarse.
El resultado es una nueva vulnerabilidad descubierta ayer relacionada con las comunicaciones cifradas SSL/TLS, llamada FREAK, que permite a un atacante interceptar comunicaciones HTTPS en lo que se conoce como un ataque “man-in-the-middle”.
Una buena cantidad de dispositivos se han visto afectados, y lo peor es que muchos de ellos nunca se actualizarán, especialmente si tienen Android. Afortunadamente algunos navegadores como Firefox ya han arreglado esta vulnerabilidad.
Puedes probar si tu sistema es inseguro accediendo a esta página creada por los descubridores del bug:
Cómo saber si tu navegador es inseguro por la vulnerabilidad FREAK