Seguridad

Descubierto otro fallo de seguridad en OpenSSL

Descubierto otro fallo de seguridad en OpenSSL
Escrito por Redacción TICbeat

Una brecha introducida hace más de diez años permitiría que los atacantes ejecutaran un ataque tipo “Man-in-the-Middle”, que permite interceptar mensajes sin que sus interlocutores sean conscientes.

Después de que Heartbleed sacudiera los cimientos de la seguridad web y con miles de dominios todavía vulnerables, el utilizadísimo protocolo OpenSSL parece seguir escondiendo algunas sorpresas desagradables. La última de ellas, un nuevo agujero de seguridad, desvelado ayer mismo por la Fundación Open SSL, pero que existe desde hace más de diez años.

Según recoge Bits, el blog de tecnología del New York Times, la OpenSSL Foundation emitió este jueves un aviso en el que pide a sus usuarios que descarguen un parche de seguridad y actualicen su versión del software OpenSSL para protegerse contra esta vulnerabilidad.

Se dice que este bug fue introducido en OpenSSL el mismo año de su lanzamiento, en 1998. La tardanza de OpenSSL a la hora de detectar esta vulnerabilidad constituye otra mancha considerable en su historial.

La brecha hace posible que un atacante experto pueda ejecutar uno de esos ataques conocidos como “Man-in-the-Middle”, también conocidos como MitM o “intermediarios”, que consisten en adquirir la capacidad de interceptar mensajes entre dos partes sin que ninguna de las dos víctimas sea consciente de ello.

De acuerdo con el aviso de la fundación OpenSSL, este ataque solo puede ejecutarse en el caso de que tanto el servidor como el cliente sean vulnerables. Los clientes de todas las versiones OpenSSL son vulnerables al mismo, mientras que los servidores solo lo son en las versiones 1.0.1. y 1.0.2-beta1.

Es decir, que, a diferencia de Heartbleed, que puede ser utilizado para violar cualquier servidor que funcione con OpenSSL, este agujero solo funciona cuando el atacante se sitúa entre los dos ordenadores que se comunican y a los que quiere atacar. Por ejemplo, en una wifi pública.

OpenSSL: la caída de un mito

Hasta el descubrimiento de Heartbleed, OpenSSL y su representación en forma de candado junto a la barra de direcciones de los navegadores simbolizaba, para muchos usuarios, una navegación segura. Sin embargo, hace alrededor de dos meses se supo que, probablemente, dos tercios de todas las webs del planeta llevaban desprotegidas, al menos, dos años.

Dicha desprotección implicaba que datos especialmente sensibles introducidos online por los usuarios, como nombres de usuarios y contraseñas, mensajes privados o información bancaria podían haber estado todo ese tiempo a la vista de terceros. Webs tan importantes como la Hacienda canadiense se han visto afectadas por esta brecha.

Foto cc: medithIT

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.