Un nuevo bug de OpenSSL es el más grave en varios meses, ya que permite a un atacante hacerse pasar por una web.

Cuando navegas por una página web segura habrás visto el famoso “HTTPS” que nos asegura que la página web con la que nos conectamos es quien dice ser, y que nuestras comunicaciones están cifradas.

No hay un único método de cifrar esta información, aunque OpenSSL era uno de los más populares (principalmente por ser abierto como su nombre indica). Pero el último año de OpenSSL ha sido algo caótico, después de que se descubriese el bug Heartbleed en Abril del año pasado, y su popularidad ha caído.

Nuevo bug de OpenSSL afectará más a Android

HTTPS

El bug descubierto ahora está al mismo nivel que Heartbleed, en el sentido de que rompe completamente la seguridad ofrecida en el cifrado y pone en peligro todas nuestras comunicaciones.

En una comunicación segura se usa un “certificado” que garantiza la identidad del servidor al que nos conectamos. Este bug hace que una aplicación acepte certificados no válidos para realizar una conexión segura, por lo que puede hacerse pasar por nuestra web favorita.

distracción movil

Si un atacante consigue captar nuestra conexión (por ejemplo, si accedemos a nuestra web con el móvil en una red Wifi pública), es muy fácil interceptarla y hacer pasar su propio servicio falso como el verdadero, por ejemplo, haciéndose pasar por nuestro servicio de correo electrónico para que introduzcamos el usuario y la contraseña creyendo que estamos a salvo porque estamos viendo el HTTPS en la dirección.

Con todo, podría ser peor. En la actualidad hay pocos navegadores que usen OpenSSL por defecto, sino que la mayoría usa versiones basadas en su código o implementaciones propias. En cambio, Android sí usa OpenSSL y podría verse más afectada; de hecho, ha sido un empleado de Google el que ha descubierto el fallo, que por ahora está sin solucionar.

Actualizado: Bug parcheado

Los desarrolladores de OpenSSL ya han parcheado el bug.