google-seguridad
Un bug de OpenSSL permite hacerse pasar por cualquier web o servicio seguro
El nuevo bug de OpenSSL descubierto permite a cualquier atacante hacerse pasar por una página web o servicio.
9 julio, 2015 17:59Noticias relacionadas
- Cuando veas porno vigila la puerta... y la privacidad: Google y Facebook saben lo que ves
- Los datos de casi todos los ciudadanos de Bulgaria han sido robados
- En Japón ya tienen "consignas para redes sociales", que te bloquean la cuenta el tiempo que quieras desconectar
- Por primera vez, un servicio de música online promete la calidad de sonido de los máster
Un nuevo bug de OpenSSL es el más grave en varios meses, ya que permite a un atacante hacerse pasar por una web.
Cuando navegas por una página web segura habrás visto el famoso “HTTPS” que nos asegura que la página web con la que nos conectamos es quien dice ser, y que nuestras comunicaciones están cifradas.
No hay un único método de cifrar esta información, aunque OpenSSL era uno de los más populares (principalmente por ser abierto como su nombre indica). Pero el último año de OpenSSL ha sido algo caótico, después de que se descubriese el bug Heartbleed en Abril del año pasado, y su popularidad ha caído.
Nuevo bug de OpenSSL afectará más a Android
HTTPS
El bug descubierto ahora está al mismo nivel que Heartbleed, en el sentido de que rompe completamente la seguridad ofrecida en el cifrado y pone en peligro todas nuestras comunicaciones.
En una comunicación segura se usa un “certificado” que garantiza la identidad del servidor al que nos conectamos. Este bug hace que una aplicación acepte certificados no válidos para realizar una conexión segura, por lo que puede hacerse pasar por nuestra web favorita.
![distracción movil](["https:\/\/s1.elespanol.com\/2015\/05\/15\/actualidad\/actualidad_33506679_129085683_664x374.jpg"])
distracción movil
Si un atacante consigue captar nuestra conexión (por ejemplo, si accedemos a nuestra web con el móvil en una red Wifi pública), es muy fácil interceptarla y hacer pasar su propio servicio falso como el verdadero, por ejemplo, haciéndose pasar por nuestro servicio de correo electrónico para que introduzcamos el usuario y la contraseña creyendo que estamos a salvo porque estamos viendo el HTTPS en la dirección.
Con todo, podría ser peor. En la actualidad hay pocos navegadores que usen OpenSSL por defecto, sino que la mayoría usa versiones basadas en su código o implementaciones propias. En cambio, Android sí usa OpenSSL y podría verse más afectada; de hecho, ha sido un empleado de Google el que ha descubierto el fallo, que por ahora está sin solucionar.
Actualizado: Bug parcheado
Los desarrolladores de OpenSSL ya han parcheado el bug.
