Casi todos los sitios web que requieren datos del usuario usan un protocolo de seguridad llamado Secure Sockets Layer (SSL), que permite que la interacción que realizas con un sitio web no sea infiltrada por un tercero (por ejemplo, cuando ingresas tu contraseña a tu servicio de correo o haces una transacción bancaria).

Ahora, los investigadores Thai Duong y Juliano Rizzo dicen haber logrado vulnerar este sistema, lo que les permitiría desencriptar los datos que se transfieren entre un servidor y el navegador que está usando el usuario. Los investigadores harán público su descubrimiento esta semana, lo que podría tener graves consecuencias.


El problema está en el transport layer security (TLS), la nueva generación de SSL. La versión vulnerable es TLS 1.0, y aunque existen las versiones 1.1 y 1.2 que no se verían afectadas, casi ningún navegador las soporta y prácticamente todos los sitios web siguen usando la versión 1.0.

Los investigadores harán una demostración su descubrimiento en la conferencia Ekoparty en Buenos Aires esta semana. Se trata de un par de líneas de JavaScript que funcionan como un espía de la red, que permite descifrar las cookies encriptadas usadas por un determinado sitio para otorgar acceso restringido a la cuenta de un usuario.

Se espera que los navegadores lancen parches en los próximos días para atacar este problema. También podría funcionar como impulso para que los sitios se actualicen a TLS 1.2.

La vulnerabilidad probablemente aumentará todavía más los llamados que se han estado haciendo últimamente para mejorar el frágil ecosistema SSL. Recientemente, las empresas DigiNotar y Comodo, emisoras de certificados SSL que permiten validar el sistema, fueron víctimas de hackeos, emitiendo certificados falsos que permitirían a un extraño inmiscuirse en las comunicaciones de miles de usuarios.

Fuente