Los usuarios de Google Chrome siguen expuestos a Heartbleed

Escrito por Lucas Cruz
Redes

Tras el descubrimiento de Heartbleed, Google se puso manos a la obra para desarrollar un módulo de seguridad en su navegador Chrome que detectara las páginas webs vulnerables. Sin embargo según un informe, no funciona como esperaban en Mountain View. Conoce más detalles a continuación.

El pasado 8 de abril salía a la luz una vulnerabilidad que había estado oculta en la sombra durante años. Conocida como Heartbleed, se trata de un agujero de seguridad en OpenSSL que ha expuesto todo este tiempo las claves secretas que se utilizan para identificar los proveedores de servicios, cifrar el tráfico, los nombres o las contraseñas de los usuarios. Como os contamos en su día, permitía a los atacantes leer 64 KB de la memoria del servidor.

apertura-heartbleedUna de las vulnerabilidades más graves encontradas en los últimos tiempos que afectaba a multitud de servicios, entre los que se encontraban Yahoo!, Flickr, 500px, Redtube o la página de XDA Developers. A pesar de que los responsables actuaron con la mayor celeridad posible para atajar este problema, sigue sin erradicarse por completo.

Google, una vez hecho público el fallo de seguridad y al igual que otros, puso en marcha el desarrollo de un módulo de seguridad para su navegador que alertara a los usuarios de los sitios con certificados digitales potencialmente peligrosos para que de esta manera evitarán entrar en estas webs y por tanto, pusieran en peligro sus datos y su información. El problema es que según un informe elaborado por varios expertos de seguridad, la efectividad de este módulo es realmente baja.

Los de Mountain View utilizarían para detectar estos sitios una lista creada y mantenida por ellos mismos, CRL Set, en la que se incluyen aquellas webs que han sido marcadas como vulnerables o alojan contenido malicioso. Es decir, si intentamos acceder a una de estas direcciones automáticamente Chrome nos bloquea el acceso. ¿Cuál es el problema? Como indica el documento, esta lista únicamente incluye un 2% de los certificados digitales que han sido revocados por Heartbleed.

Como leemos en RedesZone, esto quiere decir que Google Chrome no protege contra el 98% de páginas vulnerables. Además, podría ser negativo para el rendimiento de Internet ya que la lista podría incluir certificados digitales caducados que provoquen una sobrecarga en la red. La alternativa a la solución propuesta por Google sería un robot que se encargase de automatizar esta tarea, aunque tendremos que esperar para ver qué medidas adoptan ante el alto riego existente.

 

Fuente > ADSLZone

Continúa leyendo
Comentarios
5 comentarios
  1. Anónimo
    Usuario no registrado
    30 Abr, 14 7:50 pm

    Los servidores son vulnerables no el navegador, y están expuestos todos, no solo chrome, vaya noticias sensacionalistas

    1. Anónimo
      Usuario no registrado
      01 May, 14 2:50 am

      Gracias, porque no entendía nada

  2. Anónimo
    Usuario no registrado
    01 May, 14 11:12 am

    Que gracioso… han borrado todos los comentarios (por lo menos tres) que se quejaban del titulo ·_·

  3. Anónimo
    Usuario no registrado
    01 May, 14 11:13 am

    Hace poco qbittorrent también se actualizó para tapar el agujero de heartbleed.