FREAK attack: vulnerabilidad rompe la protección HTTPS

Se ha descubierto una vulnerabilidad ampliamente extendida (y no exactamente nueva) que permite a los atacantes descifrar el tráfico HTTPS protegido entre un determinado dispositivo y, potencialmente, millones de sitios. Esto abarca a software de Apple y Google, según reporta Ars Technica.

Se la llamó FREAK attack, siendo “FREAK” un acrónimo de “Factoring RSA Export Keys”. Los investigadores descubrieron que eran capaces de lanzar un ataque desde sitios aparentemente seguros, pertenecientes a una variedad de organizaciones que va desde entidades gubernamentales de Estados Unidos como la propia Casa Blanca hasta bancos.

De esta forma, se obligaba a los navegadores a usar una técnica de cifrado notablemente más débil, lo que habilita el robo de información personal que estos alojan, como credenciales de acceso a servicios web. Además, se podría lanzar un ataque más fuerte en los propios sitios afectados mediante la apropiación de elementos de una página, como un botón “Me Gusta” de Facebook.

Los portales afectados incluyen American Express, Bloomberg, Groupon, Marriott, así como la NSA y sitios del FBI. The Guardian agrega que, por el momento, no hay evidencia de que la vulnerabilidad haya sido explotada por cibercriminales, y que afecta tanto al navegador Safari de Apple y al explorador incluido en Android, pero no a Google Chrome ni a los hechos por Microsoft o Mozilla.

La falla lleva décadas y constituye una historia interesante, según explica The Washington Post. Los problemas de ahora se deben a un tipo de cifrado denominado “export grade encryption”, que podríamos traducir como “cifrado de calidad de exportación”, el cual es deliberadamente débil. Se incluía en productos enviados fuera de los Estados Unidos, y era reforzado por el gobierno norteamericano. Las restricciones fueron removidas a finales de los ’90, pero sigue siendo parte de software que se utiliza hoy en día, incluso en productos comprados y vendidos en el país.

Y esto fue lo que permaneció inadvertido, hasta que ahora unos investigadores lo notaron y advirtieron la forma en que podría ser aprovechado. Esta técnica podría corromperse en siete horas de poder de cómputo de 75 PCs para quebrar una llave a 512-bit, razón por la cual hoy en día se utilizan los 2048-bit como estándar, como explica Fayerwayer.

En tanto, Apple anunció que a partir de la semana que viene estará disponible un parche, mientras que Google sostuvo que su actualización para fabricantes y proveedores de servicios inalámbricos ya ha sido lanzada. De todas formas, los dispositivos con Android podrían llevar más tiempo en lo que respecta a estar seguros contra la vulnerabilidad, debido a la gran cantidad de proveedores y fabricantes que existen.

Autor , ESET

Síguenos