Ir al contenido principal

Las conexiones seguras por internet no son seguras

(Agencia Materia).- La banca online, los sitios de comercio seguro y hasta Google y Facebook usan un protocolo de seguridad para sus conexiones que no es seguro. Un atacante, con un poco de paciencia y habilidad, podría hacerse con el contenido de las comunicaciones de millones de personas, según han descubierto expertos en seguridad informática. Las grandes empresas de la red ya están sobre aviso y trabajan contrarreloj para solucionar el problema.

“Sí, todas esas operaciones están en peligro”, dice el profesor de seguridad de la información de la Universidad de Londres, Kenneth G. Paterson. Junto a uno de sus estudiantes, Nadhem AlFardan, Paterson ha descubierto una serie de graves debilidades en el protocolo de seguridad más usado para proteger las comunicaciones por internet, el Transport Layer Security (TLS, o seguridad de la capa de transporte, en español).

Este sistema, heredero del SSL (capa de conexión segura) y que mostraba una especie de candado en el navegador, tiene por misión dar seguridad a las conexiones en una red insegura por defecto como es internet. Para conseguirlo, el emisor y el receptor de una comunicación comparten un algoritmo de cifrado y unas claves con las que el primero cifra el contenido que va a enviar y el segundo las descifra. La práctica totalidad de las empresas y comercios de la red usan programas de cifrado que se apoyan en el protocolo TLS, como OpenSSL, GnuTLS, PolarSSL o CyaSSL. De esta manera, un tercero que pinchara en cualquiera de las máquinas por las que pasa esa información sólo vería un mar de datos sin sentido.

Lo que han demostrado estos investigadores británicos, en un estudio publicado, es que TLS tiene un fallo en su diseño, es decir, que no depende de la implementación que cada software o empresa haga de él, que permite capturar la información cifrada en formato de texto plano, es decir, legible para los humanos. El riesgo es aún mayor con la variante del protocolo conocida como DTLS, donde el número de ataques necesarios para conseguir los datos es aún menor. En la jerga de la seguridad informática este tipo de ataques se llaman de Man-in-the-Middle (MITM, o el hombre en el medio, en inglés).

De la seriedad del peligro para las comunicaciones por internet da prueba el hecho de que Microsoft, Apple, Opera, Oracle, Cisco, Google, F5 y las principales empresas y grupos que han desarrollado software de cifrado basado en TLS/DTLS han sido avisados por los investigadores y ya están creando parches de seguridad.

Garantía imposible

“Hemos trabajado con la mayoría de ellos para ayudarles a comprender nuestro trabajo y su importancia y, en algunos casos, para desarrollar y probar parches”, explica el profesor Paterson. Muchos de esos vendedores lanzarán soluciones en los próximos días, por lo que los investigadores esperan que el problema esté solucionado pronto en las principales implementaciones. “Sin embargo, la extensión del uso de TLS es tanta que es imposible garantizar que todas lo arreglen enseguida”, añade.

Por fortuna, aprovechar esta debilidad no está al alcance de cualquier pirata informático. “Necesitarán hacer un concienzudo trabajo de codificación antes de crear una herramienta de ataque útil. No es sencillo, a nosotros nos ha llevado meses de desarrollo y experimentación”, asegura Paterson. Su ataque se basa en aprovechar mensajes de error en una sesión o conexión. “Pero, como las diferencias de tiempo son muy pequeñas, el atacante necesita poder situarse muy cerca del servidor TLS para obtener esa información de forma fiable. Esto limita la ventana de oportunidad de llevar a cabo el ataque”, explica.

Pero esa cercanía al servidor objetivo no significa que el atacante deba tener un acceso directo a la máquina, le basta con entrar en la red de área local (LAN) donde se encuentre su víctima, por ejemplo a través de una red WiFi, y esto se puede conseguir desde cualquier parte del mundo.

Referencia
Lucky Thirteen: Breaking the TLS and DTLS Record Protocols

OTRAS PUBLICACIONES

Desaparece el INFOVIR; se fusiona con la SEDUVI

Por reestructuración cierra sus puertas el día 30, iniciando labores el día 3 de octubre

Se registra sismo de 4.2 grados en Tulum; no se reportan daños

En un hecho inusitado, durante la noche de este domingo se registró un temblor en Tulum, con epicentro a unos cuantos kilómetros de la cabecera municipal

Cédula catastral, útil para diferentes trámites

Este documento, que contiene información relacionada con la descripción física del inmueble, situación jurídica y valor del mismo, sirve para realizar diferentes trámites como la escrituración de la propiedad o para solicitar licencias de funcionamiento

Desarticulan banda criminal que extorsionaba en Playa del Carmen

Playa del Carmen.- El Procurador General de Justicia del Estado, Gaspar Armando García Torres, presentó en la sede de la Subprocuraduría de la Riviera Maya a 10 personas detenidas, mismas que se dedicaban a extorsionar a comerciantes de  Playa del Carmen, además de estar relacionados con dos ejecuciones registradas este mismo año en la ciudad. Los detenidos son Antonio de Jesús Ochoa Zetina, alias “El Toño”, de 41 años de edad, originario de la Comunidad de Quintana Roo, Estado de Yucatán; José Iván Yam, alias “El Iván”, de 38 años, de Mérida, Yucatán;  Alejandro Ríos Cupul, alias “El Alex”, de 29 años, de Cancún, Quintana Roo;  Abisai Rafael Santiago Castillo, alias “El Chino”, de 33 años, originario de Mérida, Yucatán;  Argimiro Noslaco Benítez, alias “Maylo” y/o “Gordo”, de 29 años, de Mérida, Yucatán y  Roberto Reyes García, alias “El Picho”, de 53, del Estado de Veracruz; relacionados con la AP 190/2013, iniciada por extorsión. Así como Ernesto Cortes García, alias “La Mue