Tras Heartbleed, el descubrimiento de una nueva vulnerabilidad de cifrado vuelve a suscitar debate sobre la seguridad en internet
Hace unos días, el Instituto Nacional de Investigación en Informática y Automática francés y la Universidad Johns Hopkins de Maryland descubrieron un agujero de seguridad bautizado como FREAK (Factoring attack on RSA-EXPORT Keys) que afecta al cifrado SSL/TLS. En un principio, la brecha de seguridad sólo afectaba al navegador integrado en Android y a Safari, pero posteriormente, Microsoft confirmó que FREAK también afecta a Windows, y que todos aquellos dispositivos equipados con Windows son también vulnerables al fallo de seguridad. Microsoft añadió que los servidores openSSL con versión anterior a 1.0.1 también son vulnerables.
Lo más preocupante de esta falla en la seguridad de los protocolos criptográficos es que la vulnerabilidad existe desde los años 90. Decisiones políticas han permitido que esta falla persista aún hoy día, debido a que el gobierno de Estados Unidos quería asegurarse de que la NSA podía descodificar las comunicaciones extranjeras como medida de contraespionaje. La presión política ejercida obligó a implementar un método de encriptación de cifrado débil (512 bits), lo que se traduce en un número de códigos de baja complejidad, fácilmente “hackeable”.
Afortunadamente, tanto Apple como Microsoft han reaccionado con gran rapidez y ya han lanzado sendas actualizaciones de sus sistemas operativos para solucionar el fallo.
En la web de Freak Attack se puede comprobar al instante si vuestro dispositivo se ve afectado por este error, simplemente a través de una banda roja o azul.
Como medida de precaución, por el momento lo mejor es actualizar los sistemas operativos o cambiar a otro navegador que no se haya visto afectado, como Google Chrome o Mozilla Firefox.
Esta falla de seguridad recuerda a la que Google descubrió el año pasado (Heartbleed) que afectaba al cifrado de código abierto OpenSSL y hace saltar de nuevo a la palestra el debate sobre la seguridad en internet.
La seguridad en internet ¿existe realmente?
¿Estamos realmente seguros en internet? La respuesta, contrariamente a lo que se pueda pensar es SÍ. Esta nueva vulnerabilidad descubierta pone de manifiesto que hasta ahora no se han tomado las suficientes medidas de seguridad, pero no quiere decir que Internet sea un lugar totalmente hostil.
Probablemente, estas fallas en la seguridad de los cifrados de código en internet se deben a un comportamiento negligente de usuarios y desarrolladores, a pesar de la existencia de multitud de soluciones y herramientas de seguridad online. De hecho, un sondeo realizado recientemente en España por Nominalia entre usuarios y profesionales web evidencia la poca importancia que se le otorga a la seguridad en internet.
Algunas conclusiones del estudio realizado por Nominalia:
Según las conclusiones del estudio, el 60% de los usuarios encuestados desconoce por completo o cuenta con un conocimiento muy básico de los sistemas de seguridad de su proveedor de hosting. En esto, coinciden con las empresas, de las que el 67% no conoce nada o casi nada sobre las medidas de seguridad de su proveedor de hosting.
Tanto empresas como usuarios suspenden en precauciones de seguridad: no modifican las contraseñas habitualmente, no cuentan con variedad de contraseñas, dejan abiertos los perfiles de las redes sociales cuando dejan de usarlas, etc.
A pesar de que el 65% de los españoles considera que internet no es seguro, el 68% de la población no invierte en seguridad para sus ordenadores. Además, el 80% ha sufrido alguna vez un ataque de un virus.
A la luz de estos datos, se puede concluir que, en general, internet no es percibido como un medio seguro. Pero esta percepción no se corresponde con la realidad, pues existen herramientas que hacen segura la navegación, protocolos como el https que incluyen encriptación en las páginas web, antivirus, firewalls y antimalwares que mantienen nuestros equipos y datos libres de peligro. Los proveedores de hosting ofrecen productos totalmente seguros en los que se puede confiar. Nominalia se encuentra entre aquellas empresas que ofrecen total garantía en el aspecto de la seguridad. Lo único que hace falta es concienciarse de la responsabilidad de cada uno en el buen uso de todas estas herramientas y realizar pequeños gestos (como cambiar periódicamente las contraseñas) para hacer de internet un lugar aún más seguro.
