Nadie está a salvo de FREAK, el agujero de seguridad que permite a los hackers espiar y robar datos en conexiones cifradas SSL y TTL, utilizadas por bancos, tiendas online, gobiernos, y otros muchos servicios para tramitar pagos y enviar información de alto riesgo.
Aunque ya se había informado de forma privada a gobiernos y servicios de Internet hace unas semanas, esta vulnerabilidad se hizo pública el miércoles. EnComputerHoy.com nos hicimos eco del descubriento de FREAK.
Sin embargo, en un primer momento se dijo queFREAK sólo afectaba al navegador por defecto de Android, y a los dispositivos Apple con iOS y OS X. Ayer viernes Microsoft confirmó que los ordenadores PC equipados con Windowstambién son vulnerables a este problema, así como los servidores que utilicen openSSLanterior a la versión 1.0.1.
Al parecer, FREAK tiene su origen en una debilidad en la encriptación que se remonta a los años 90 del pasado siglo, cuando Estados Unidos prohíbia al software de Internet utilizar el máximo nivel de cifrado durante el envío de datos al extranjero, precisamente para que los hackers y países rivales no descubriesen sus técnicas de encriptación.
Se implementó un sistema más débil para cifrar los datos que se enviaban al extranjero, y a partir de ahí FREAK ha conseguido hallar la forma de interceptar datos cifrados por medio de SSL y TTL, permitiendo espiar y robar información de conexiones seguras.
Aunque no hay datos confirmados, se da por hecho que ciberdelincuentes y espías gubernamentales han usado FREAK para entrar en conexiones seguras de gobiernos, bancos, servicios de Internet y tiendas online, y robar información.
Apple ya ha comunicado que la semana que viene lanzará un parche para iOS y OS X que corregirá esta vulnerabilidad. Google ha anunciado la misma medida para su navegador de Android, aunque no ha puesto fecha.
Microsoft ha dado una serie de instrucciones para cambiar la configuración de los servidores vulnerables a FREAK, aunque al parecer no se puede llevar a cabo en equipos que usan Windows Server 2003. Por eso lanzará un parche en la próxima actualización mensual, o de forma inmmediata en cuando esté terminado, si lo consideran necesario.
0 Comentarios