Descubren un fallo de seguridad en la tecnología de encriptación SSL

Mozilla, Google y Twitter han desactivado este protocolo para evitar brechas de seguridad en sus servicios

Un grupo de investigadores de Google ha descubierto una vulnerabilidad en el protocolo SSL 3.0, una tecnología de encriptación ampliamente utilizada en las páginas web.

El equipo de investigadores ha llamado «Poodle» a este fallo en internet. Los investigadores apuntan que no es tan dañino como el Heartbleed o el Shellshock. De igual forma recomiendan a las páginas que utilicen dicho protocolo que lo desactiven para evitar brechas de seguridad.

El problema está en este estándar de cifrado con 18 años de edad, que sigue siendo ampliamente utilizado en los navegadores web y sites. Expertos de seguridad consultados por Reuters destacan que el fallo permite a los hackers robar los datos de los «cookies» en los navegadores, y consideran que no es tan potente como otras vulnerabilidades.

«Es bastante complicado. El atacante requiere tener una posición privilegiada en la red», ha dicho Ivan Ristic, director de investigación de seguridad de aplicación con Qualys y experto en SSL. Jeff Moss, fundador de la Def Con y asesor para el Departamento de seguridad nacional de Estados Unidos, apuntó que un atacante con recursos podría aprovechar el error para robar las cookies de las sesiones en los navegadores, tomando el control de cuentras de correos electrónicos, redes sociales ó de bancos online que usen esa tecnología.

Mozilla ya ha anunciado que desactivará la encriptación SSL en la última versión de su navegador Firefox tras descubrirse el fallo «Poodle» (Poodle significa caniche en inglés pero en este caso se deriva de las siglas de Padding Oracle On Downloaded Legacy Encryption).

«Al explotar esta vulnerabilidad, un atacante obtener acceso a contraseñas y cookies, introduciéndose en los datos de las cuentas privadas de los usuarios en una web», a dicho Mozilla en su blog.

Twitter ya ha desactivado este protocolo en su plataforma. «Quizás necesitarán actualizar su navegador para poder usar Twitter», ha dicho la empresa a través de un «tuit». Google también ha empezado a remover el protocolo de algunos de sus servicios, por lo que advierten que es posible que algunas páginas web tengan fallos en Chrome, por ejemplo.