El protocolo de cifrado SSL 3.0 queda expuesto a una grave vulnerabilidad

Virus

Comienzan a producirse las primeras reacciones de servicios afectados por  la nueva y peligrosa vulnerabilidad que ha sido anunciada en las últimas horas. La alarma fue dada ayer por los técnicos de seguridad de Google que han descubierto un bug que afecta al protocolo criptográfico SSL3.0 (POODLE) que gestiona las conexiones seguras en Internet.

En la red ya se la empieza a conocer como “Poodle bug” (Padding Oracle On Downgraded Legacy Encryption) y algunos ya lo comparan con Heartbleed debido a la posibilidad de que atacantes informáticos puedan acceder a los datos privados tras violar el protocolo de cifrado SSL 3.0, como nos informan nuestros compañeros de Redes Zone. Sin duda, Heartbleed se convirtió por méritos propios en la referencia en este campo, debido al gran alcance de la misma y los riesgos de seguridad que provocaba en sistemas que no estuvieran adaptados con las actualizaciones de seguridad.

Para saber si una conexión a un sitio web es segura, es posible la comprobación del cifrado de la misma mediante un icono de un candado que aparece en la barra de direcciones junto a la URL en cuestión. Aunque  paulatimente el SSL ha dejado pasado al cifrado TSL, el primero aún estaría bastante extendido sobre todo en países asiáticos como China. No obstante, según informó el blog de seguridad de Google, los hackers serían capaces de saltarse ese cifrado y tener acceso a los datos privados enviados por el usuario al sitio visitado y viceversa. Pero además, el atacante podría manipular esa información para hacer llegar a la otra parte datos falsos generando graves riesgos de seguridad debido a que los datos se verían comprometidos.

apertura-internet-seguridad

Ya se han producido las primeras reacciones al bug de Poodle

Muchas plataformas y servicios han comenzado a retirar el apoyo al protocolo SSL, empezando por la propia Google que recomienda a sus usuarios que procedan a desactivar las conexiones SSL 3.0. Los navegadores que puedan ser adaptados al protocolo TSL no tendrán de momento ningún problema, aunque versiones más antiguas, como Internet Explorer 6 que aún se sigue usando en algunos entornos, quedan expuestas debido a que no dan soporte a TSL.

Compañías como Twitter, Mozilla, Slack o Google se han apresurado a retirar el soporte a SSL 3.0 si no de forma inmediata en futuras versiones de su software que se espera sean lanzadas en las próximas semanas. Mozilla lo suprimirá en la versión 34 de Firefox el próximo 25 de noviembre, mientras que Twitter o Slack ya han anunciado en las redes sociales sus inmediatas medidas.

Escrito por David Valero

Fuente > OpenSSL

Continúa leyendo
Comentarios
5 comentarios
  1. Anónimo
    Usuario no registrado
    15 Oct, 14 5:24 pm

    Yo navego en HTTP con Internet Explorer 5.10, soy un rebelde.

    1. Anónimo
      Usuario no registrado
      15 Oct, 14 7:13 pm

      Yo con Mosaic.

      1. Anónimo
        Usuario no registrado
        15 Oct, 14 8:05 pm

        Vives al límite, mis felicitaciones.

    2. Anónimo
      Usuario no registrado
      15 Oct, 14 10:32 pm

      En realidad es lo mejor