Todos los días leemos noticias sobre nuevos ataques y vulnerabilidades peligrosas. Pero la información que hoy publica Ars Technica nos ha dejado con la boca abierta. Y es que según este medio, sitios tan importantes como Facebook o PayPal serían vulnerables a un ataque de 1998.
Se trataría de un fallo de seguridad detectado hace 19 años. Una vulnerabilidad crítica que permitiría a los atacantes desencriptar datos encriptados y firmar determinadas comunicaciones, sin necesidad de usar la clave secreta de cifrado de los sitios.
Pero, ¿de qué vulnerabilidad estamos hablando? Y lo que es más importante, ¿por qué regresa después de casi dos décadas desaparecida o, mejor dicho, dormida?
Facebook y Paypal serían vulnerables a este fallo
Esta vulnerabilidad fue descubierta en 1998 por parte de un investigador llamado Daniel Bleichenbacher. Esta se encuentra en el protocolo de seguridad de la capa de transporte de cifrado web. Técnicamente, se trata de un fallo en el algoritmo que gestiona las claves de encriptación RSA.
Los atacantes expertos podrían explotar esta vulnerabilidad, descifrando el texto cifrado aunque no tengan la clave secreta para el descifrado. Los arquitectos SSL diseñaron una serie de soluciones que lo que hacía era suprimir los mensajes de error. Pero no eliminaron ni reescribieron el algoritmo RSA que era defectuoso.
Los investigadores saben que esta vulnerabilidad (y todas las que son parecidas) se basa en un sistema de respuestas de sí o no, que con el tiempo pueden revelar información sobre los datos cifrados. Al final, lo que consiguen los criminales es perpetrar un ataque de texto cifrado adaptable. Esta es la denominación técnica.
27 de 100 sitios muy visitados, afectados por la vulnerabilidad
Los investigadores han informado de que una investigación realizada el pasado mes de noviembre ha revelado esta circunstancia. De 100 sitios web muy visitados, un total de 27 eran vulnerables a este tipo de ataque. Entre ellos están, como avanzábamos, Facebook o PayPal.
De hecho, del millón de mejores sitios identificados, aproximadamente el 2,8% estarían afectados por este problema de seguridad. Además, los investigadores también identificaron desarrolladores de cortafuegos, equilibradores de carga y otras aplicaciones que permitían precisamente que estos sitios fueran vulnerables a ataques de descifrado y suplantación.
Para los investigadores, el descubrimiento solo confirma una cosa importante. Que los sistemas de seguridad actuales no son suficientes. Y que, de hecho, habrá que hacer un poco más para que el sistema de HTTPS sea seguro de verdad.
Los investigadores han sido claros en este sentido. Cuentan que les ha sorprendido mucho que usando variaciones tan simples del ataque original tuvieran tanto éxito. Parece ser que el problema era más que evidente, pero hasta ahora, los responsables de estos sitios no habían hecho nada por evitarlo.
Digamos que, aunque se trata de un ataque clásico, no se ha realizado ninguna investigación para abordar la problemática. Los resultados de las pruebas llevadas a cabo con ROBOT (abreviatura de Return Of Bleichenbacher’s Oracle Threat) fueron muy significativos en Facebook.
Los investigadores advirtieron a los responsables de esta red social en privado. Y en apenas una semana, los ingenieros de Facebook habían aplicado un parche. Sin embargo, los expertos se dieron cuenta de que se trataba una solución incompleta.
En estos momentos, parece que el problema – que por cierto también afectaba a las páginas de instagram.com y fbcdn.com – ya habría sido parcheado.