Skip to main content

Ciencia: Las conexiones seguras por internet no son seguras



Investigadores británicos descubren un serio fallo en el protocolo de cifrado más usado en la red. Grandes compañías como Google, Microsoft, Oracle o Cisco ya están trabajando en una solución

La banca online, los sitios de comercio seguro y hasta Google y Facebook usan un protocolo de seguridad para sus conexiones que no es seguro. Un atacante, con un poco de paciencia y habilidad, podría hacerse con el contenido de las comunicaciones de millones de personas, según han descubierto expertos en seguridad informática. Las grandes empresas de la red ya están sobre aviso y trabajan contrarreloj para solucionar el problema.


“Sí, todas esas operaciones están en peligro”, dice el profesor de seguridad de la información de la Universidad de Londres, Kenneth G. Paterson . Junto a uno de sus estudiantes, Nadhem AlFardan, Paterson ha descubierto una serie de graves debilidades en el protocolo de seguridad más usado para proteger las comunicaciones por internet, el Transport Layer Security (TLS, o seguridad de la capa de transporte, en español).
Este sistema, heredero del SSL (capa de conexión segura) y que mostraba una especie de candado en el navegador, tiene por misión dar seguridad a las conexiones en una red insegura por defecto como es internet. Para conseguirlo, el emisor y el receptor de una comunicación comparten un algoritmo de cifrado y unas claves con las que el primero cifra el contenido que va a enviar y el segundo las descifra. La práctica totalidad de las empresas y comercios de la red usan programas de cifrado que se apoyan en el protocolo TLS, como OpenSSLGnuTLSPolarSSL o CyaSSL. De esta manera, un tercero que pinchara en cualquiera de las máquinas por las que pasa esa información sólo vería un mar de datos sin sentido.
Lo que han demostrado estos investigadores británicos, en un estudio publicado hoy, es que TLS tiene un fallo en su diseño, es decir, que no depende de la implementación que cada software o empresa haga de él, que permite capturar la información cifrada en formato de texto plano, es decir, legible para los humanos. El riesgo es aún mayor con la variante del protocolo conocida como DTLS, donde el número de ataques necesarios para conseguir los datos es aún menor. En la jerga de la seguridad informática este tipo de ataques se llaman de Man-in-the-Middle (MITM, o el hombre en el medio, en inglés).
De la seriedad del peligro para las comunicaciones por internet da prueba el hecho de que Microsoft, Apple, Opera, Oracle, Cisco, Google, F5 y las principales empresas y grupos que han desarrollado software de cifrado basado en TLS/DTLS han sido avisados por los investigadores y ya están creando parches de seguridad.

Garantía imposible

“Hemos trabajado con la mayoría de ellos para ayudarles a comprender nuestro trabajo y su importancia y, en algunos casos, para desarrollar y probar parches”, explica el profesor Paterson. Muchos de esos vendedores lanzarán soluciones en los próximos días, por lo que los investigadores esperan que el problema esté solucionado pronto en las principales implementaciones. “Sin embargo, la extensión del uso de TLS es tanta que es imposible garantizar que todas lo arreglen enseguida”, añade.
Por fortuna, aprovechar esta debilidad no está al alcance de cualquier pirata informático. “Necesitarán hacer un concienzudo trabajo de codificación antes de crear una herramienta de ataque útil. No es sencillo, a nosotros nos ha llevado meses de desarrollo y experimentación”, asegura Paterson. Su ataque se basa en aprovechar mensajes de error en una sesión o conexión. “Pero, como las diferencias de tiempo son muy pequeñas, el atacante necesita poder situarse muy cerca del servidor TLS para obtener esa información de forma fiable. Esto limita la ventana de oportunidad de llevar a cabo el ataque”, explica.
Pero esa cercanía al servidor objetivo no significa que el atacante deba tener un acceso directo a la máquina, le basta con entrar en la red de área local (LAN) donde se encuentre su víctima, por ejemplo a través de una red WiFi, y esto se puede conseguir desde cualquier parte del mundo.

REFERENCIA
Materia

Comments

Popular posts from this blog

Algo de música e historia. BALDERRAMA. Interpreta Jorge Cafrune

Balderrama, la zamba, el boliche y su historia. (por Lua) Hace unos días le prometí a un viajero contarle quien era Balderrama y como era ese viejo boliche salteño. He rastreado información y aquí se las comparto. Para empezar, hay una zamba muy conocida en nuestro país, que justamente se llama Balderrama, cuyos autores de letra y musica respectivamente, son Manuel Castilla y el Cuchi leguizamón. A continuación, la zamba misma: (Así lo canta Jorge Cafrune) (mi comentario) Zamba de Balderrama A orillas del canal al despuntar la mañana salió la noche cantando desde el lau' de Balderrama, salió la noche cantando  desde el lau' de Balderrama Adentro puro temblar el bombo en las baguala y si amanecen cantando dele chispear la guitarra Nochero, solito brotes del alba dónde iremos a parar si se apaga Balderrama dónde iremos a parar si se apaga Balderrama Si uno se pone a cantar el cochero lo acompaña y en cada vaso de vino tiembla el lucero del alba y en cada vaso de vino

NICANOR PARRA. LAS BANDEJITAS DE LA REYNA

BANDEJITAS DE LA REYNA Piezas en las que aparecen frases atribuidas a Mr. Nobody, un personaje representado por un corazón con ojos del que sobresalen unos raquíticos brazos y piernas. El origen de esta serie tuvo lugar cuando Parra estaba esperando a ser atendido en un puesto de empanadas y un admirador le pidió un autógrafo, y como no disponía de papel, usó una bandeja de la tienda. Una vez más, recurrió a soportes desechables que facilitan una escritura rápida, suelta, epigramática, en la que predomina el acento pícaro e irreverente. Imágenes captadas en la exposición sobre Nicanor Parra en agosto de 2014 en la universidad Diego Portales

El sonido de la libertad | DW Documental

200 años de música, de libertad, esperanza y protesta: este reportaje de dos partes cuenta la historia de canciones que se convirtieron en melodías emblemáticas, desde "La marsellesa" pasando por "Bella Ciao" y "I Will Survive". ¿Qué tiene que ver la popular canción alemana "Los pensamientos son libres" con la "oración punk" de la banda rusa Pussy Riot? ¿En qué tradiciones se basa el movimiento Free Nelson Mandela o el pop feminista de Beyoncé? La música conmueve a las personas. Motiva y reconforta. Desde la Revolución Francesa, la agitación social y las canciones políticas han estado estrechamente vinculadas. La superestrella Beyoncé es un ejemplo actual de que la música pop exitosa puede ser política. Utiliza su fama para llamar la atención sobre la discriminación contra las personas negras en los Estados Unidos y para luchar por la igualdad de derechos de las mujeres. De esta manera, la cantante forma parte de una larga tradic