El protocolo de cifrado SSL 3.0 queda expuesto a una grave vulnerabilidad

El protocolo de cifrado SSL 3.0 queda expuesto a una grave vulnerabilidad

David Valero

Comienzan a producirse las primeras reacciones de servicios afectados por  la nueva y peligrosa vulnerabilidad que ha sido anunciada en las últimas horas. La alarma fue dada ayer por los técnicos de seguridad de Google que han descubierto un bug que afecta al protocolo criptográfico SSL3.0 (POODLE) que gestiona las conexiones seguras en Internet.

En la red ya se la empieza a conocer como “Poodle bug” (Padding Oracle On Downgraded Legacy Encryption) y algunos ya lo comparan con Heartbleed debido a la posibilidad de que atacantes informáticos puedan acceder a los datos privados tras violar el protocolo de cifrado SSL 3.0, como nos informan nuestros compañeros de Redes Zone. Sin duda, Heartbleed se convirtió por méritos propios en la referencia en este campo, debido al gran alcance de la misma y los riesgos de seguridad que provocaba en sistemas que no estuvieran adaptados con las actualizaciones de seguridad.

Para saber si una conexión a un sitio web es segura, es posible la comprobación del cifrado de la misma mediante un icono de un candado que aparece en la barra de direcciones junto a la URL en cuestión. Aunque  paulatimente el SSL ha dejado pasado al cifrado TSL, el primero aún estaría bastante extendido sobre todo en países asiáticos como China. No obstante, según informó el blog de seguridad de Google, los hackers serían capaces de saltarse ese cifrado y tener acceso a los datos privados enviados por el usuario al sitio visitado y viceversa. Pero además, el atacante podría manipular esa información para hacer llegar a la otra parte datos falsos generando graves riesgos de seguridad debido a que los datos se verían comprometidos.

apertura-internet-seguridad

Ya se han producido las primeras reacciones al bug de Poodle

Muchas plataformas y servicios han comenzado a retirar el apoyo al protocolo SSL, empezando por la propia Google que recomienda a sus usuarios que procedan a desactivar las conexiones SSL 3.0. Los navegadores que puedan ser adaptados al protocolo TSL no tendrán de momento ningún problema, aunque versiones más antiguas, como Internet Explorer 6 que aún se sigue usando en algunos entornos, quedan expuestas debido a que no dan soporte a TSL.

Compañías como Twitter, Mozilla, Slack o Google se han apresurado a retirar el soporte a SSL 3.0 si no de forma inmediata en futuras versiones de su software que se espera sean lanzadas en las próximas semanas. Mozilla lo suprimirá en la versión 34 de Firefox el próximo 25 de noviembre, mientras que Twitter o Slack ya han anunciado en las redes sociales sus inmediatas medidas.