El protocolo Transport Layer Security empieza a mostrar sus debilidades. Imagen: Pedro Nogueira. Fuente: PhotoXpress.
El protocolo que garantiza la seguridad de la banca online, los datos de tarjetas de crédito y Facebook tiene debilidades importantes, de acuerdo con investigadores de la Royal Holloway, de la Universidad de Londres.
El protocolo Transport Layer Security (TLS, Capa de Conexión Segura) es utilizado por millones de personas a diario. Proporciona seguridad para la banca en internet, así como para los datos de tarjetas de crédito al comprar en la red. Además, muchos sistemas de correo electrónico en empresas sí lo utilizan, así como los productos online de Facebook y Google.
El profesor Kenny Paterson, del Grupo de Seguridad de Informática de Royal Holloway, y el estudiante de doctorado Nadhem AlFardan han descubierto que el ataque llamado "Man-in-the-middle" (hombre-en-el-medio), que consiste en que una persona intercepta la comunicación entre dos personas y la modifica a su gusto, puede lanzarse contra TLS para interceptar datos personales sensibles.
Se ha identificado un defecto en la forma en la que el protocolo cierra las sesiones TLS. Se filtra una pequeña cantidad de información al atacante, que puede utilizarla para construir poco a poco una imagen completa de los datos que se envían.
El profesor Paterson explica en la nota de prensa: "Aunque estos ataques no representan una amenaza significativa para los usuarios normales en este momento, los ataques mejoran con el tiempo. Dado el uso muy extendido de TLS, es crucial hacer frente a este problema ahora".
El protocolo Transport Layer Security (TLS, Capa de Conexión Segura) es utilizado por millones de personas a diario. Proporciona seguridad para la banca en internet, así como para los datos de tarjetas de crédito al comprar en la red. Además, muchos sistemas de correo electrónico en empresas sí lo utilizan, así como los productos online de Facebook y Google.
El profesor Kenny Paterson, del Grupo de Seguridad de Informática de Royal Holloway, y el estudiante de doctorado Nadhem AlFardan han descubierto que el ataque llamado "Man-in-the-middle" (hombre-en-el-medio), que consiste en que una persona intercepta la comunicación entre dos personas y la modifica a su gusto, puede lanzarse contra TLS para interceptar datos personales sensibles.
Se ha identificado un defecto en la forma en la que el protocolo cierra las sesiones TLS. Se filtra una pequeña cantidad de información al atacante, que puede utilizarla para construir poco a poco una imagen completa de los datos que se envían.
El profesor Paterson explica en la nota de prensa: "Aunque estos ataques no representan una amenaza significativa para los usuarios normales en este momento, los ataques mejoran con el tiempo. Dado el uso muy extendido de TLS, es crucial hacer frente a este problema ahora".
El peligro aún es pequeño
"Por suerte hemos descubierto una serie de medidas que se pueden utilizar. Hemos estado trabajando con un número de empresas y organizaciones, entre ellas Google, Oracle y OpenSSL, para poner a prueba sus sistemas contra ataques y poner las defensas apropiadas en su lugar. "
Los ataques, matizan los investigadores, sólo pueden llevarse a cabo por un atacante determinado que se encuentre cerca de la máquina que es atacada, y que pueda efectuar un número grande de ataques.
¿No es irresponsable hacer públicos estos ataques? Los investigadores dicen que no. "Nuestro objetivo a largo plazo es asegurar que las debilidades de TLS sean eliminadas, para el beneficio de todos sus usuarios. La experiencia demuestra que la única manera de que esto suceda es hacer los ataques lo más potentes posibles y hacer muros de seguridad a prueba de ellos". Los investigadores colaboran con cualquiera que quiera prevenir estos peligros.
"Por suerte hemos descubierto una serie de medidas que se pueden utilizar. Hemos estado trabajando con un número de empresas y organizaciones, entre ellas Google, Oracle y OpenSSL, para poner a prueba sus sistemas contra ataques y poner las defensas apropiadas en su lugar. "
Los ataques, matizan los investigadores, sólo pueden llevarse a cabo por un atacante determinado que se encuentre cerca de la máquina que es atacada, y que pueda efectuar un número grande de ataques.
¿No es irresponsable hacer públicos estos ataques? Los investigadores dicen que no. "Nuestro objetivo a largo plazo es asegurar que las debilidades de TLS sean eliminadas, para el beneficio de todos sus usuarios. La experiencia demuestra que la única manera de que esto suceda es hacer los ataques lo más potentes posibles y hacer muros de seguridad a prueba de ellos". Los investigadores colaboran con cualquiera que quiera prevenir estos peligros.