CNET también está disponible en español.

Ir a español

Don't show this again

Google descubre peligrosa vulnerabilidad en el protocolo SSL

El fallo de seguridad permite a 'hackers' leer información en texto plano que se transmite en una conexión, supuestamente encriptada, entre cliente-servidor.

Seguridad
google-fitness.jpg
Getty Images

Un equipo de tres ingenieros de Google encontró una vulnerabilidad en el protocolo criptográfico SSL que pone en peligro la información que se transmite entre cliente y servidor. Este tipo de protocolo de seguridad informática es muy utilizado en Internet, de ahí su peligrosidad.

Los ingenieros que encontraron a Poodle (nombre que recibió la vulnerabilidad) son Bodo Möller, Thai Duong y Krzysztof Kotowicz, ingenieros del equipo de seguridad informática en Google. El nombre Poodle fue dado por su significado en inglés Padding Oracle On Downgraded Legacy Encryption.

El problema fue localizado en el diseño del protocolo SSL 3.0, que existe desde hace 15 años. La vulnerabilidad permite a hackers ver la información enviada en texto plano (sin seguridad) entre conexiones seguras servidor-cliente.


Poodle se aprovecha de la forma en la que se comunican los servidores y clientes: en la primera conexión entre éstos, se intenta utilizar el protocolo de encriptación más seguro; si la conexión falla o no se logra enlazar, se intentará utilizar el protocolo menor, y así hasta conseguir la conexión. El cambio a una versión inferior del protocolo también puede ser causado por fallas en la conexión de Internet, y éstas pueden ser generadas por hackers.

Los googlers no han encontrado evidencia de que este problema esté siendo aprovechado por hackers, y por ahora la única solución que revelan es desactivar el protocolo SSL 3.0 -- que de por sí los servidores y sitios web ya no deberían utilizar porque tiene más de una década en función y ya existen versiones nuevas y más seguras. Asimismo, Möller y compañía sugieren abandonar SSL 3.0 y que los sitios y servidores opten por utilizar TLS_FALLBACK_SCSV, un mecanismo que impide que la conexión servidor-cliente utilice un protocolo criptográfico de menor seguridad.

Google afirma que su navegador Chrome ya tiene desactivado el protocolo SSL 3.0 y utiliza TLS 1.2, 1.1 o 1.0, para así evitar problemas de seguridad. Si bien lo hecho por Google con Chrome ayuda a mitigar el problema de seguridad, algunos sitios podrían llegar a mostrar inestabilidad. De igual forma, Google eliminará el protocolo SSL 3.0 de todos sus servicios y productos en los próximos meses.

Close
Drag
Autoplay: SI Autoplay: NO