Millones de usuarios de Internet se enfrentan al riesgo de amenazas cibernéticas, ya que los investigadores de seguridad descubrieron una falla importante en la seguridad de la capa de transporte que puede exponer nombres de usuario, contraseñas, credenciales bancarias y tarjetas de crédito a ataques.
OpenSSL, la organización encargada de mantener un conjunto de herramientas de cifrado para Internet, ha pedido a los sitios web que arreglen sus servidores antes de que la falla, llamada DROWN, descifre su tráfico web y espíe la comunicación entre usuarios a través de man-in-the -Ataques intermedios.
Según un grupo de investigadores que descubrió la vulnerabilidad, un ataque DROWN puede abusar de la falla SSLv2, un problema de criptografía desde hace mucho tiempo que continúa afectando la seguridad informática en la actualidad. Luego, la vulnerabilidad se usa para descifrar una sesión TLS actual e incluso sesiones pasadas.
La falla es producto de una serie de errores cometidos por personas que desarrollan TLS, y es lamentable que la mayoría de las conexiones a Internet tengan que soportar la peor parte como consecuencia.
Un ataque DROWN aprovecha los errores en el protocolo SSLv2 para romper las conexiones seguras creadas bajo el protocolo TLS. En pocas palabras, el protocolo SSLv2 ha sido vulnerable porque su suite de exportación no está configurada para contrarrestar ataques conocidos, mientras que TLS defiende contra esos ataques, aunque ambos están diseñados para admitir el cifrado RSA.
Al momento de escribir este artículo, una de cada tres conexiones HTTPS está expuesta a atacantes que podrían penetrar servidores web sin parches y espiar las comunicaciones entre dos usuarios. Hasta ahí llegan las estimaciones de los investigadores de seguridad. En el centro de la vulnerabilidad hay dos versiones desactualizadas de OpenSSL que muchos servidores web todavía usan en la actualidad. Afortunadamente, OpenSSL se apresuró a implementar correcciones de software diseñadas para paralizar el protocolo SSLv2 de forma predeterminada y terminar los cifrados de exportación SSLv2.
La vulnerabilidad ha estado ahí durante bastante tiempo en las iteraciones más antiguas del protocolo SSL, pero la última versión combina la criptografía paralizada de exportación con la vulnerabilidad de puerta trasera. La combinación de los dos resultó en una falla masiva que devasta toda la implementación conocida de SSLv2. OpenSSL advierte que los sitios web ya no deben usar ninguno de los dos protocolos, pero desafortunadamente, todavía se usa ampliamente en la actualidad.
Esta falla en el protocolo SSLv2 en realidad se remonta a la criptografía de grado de exportación de la década de 1990 que se desarrolló de acuerdo con las restricciones establecidas por el gobierno de los Estados Unidos, lo que significa que la vulnerabilidad es un resultado indirecto de satisfacer el deseo del gobierno federal de tomar el control de la exportación. de la criptografía de forma errónea.
