Proveedores luchando para solucionar el error en la seguridad de Net

Los fabricantes de software alrededor el mundo está luchando para solucionar un error grave en la tecnología utilizada para transferir información de forma segura en Internet.

El error radica en el protocolo SSL, mejor conocido como la tecnología utilizada para la navegación segura en sitios web que comienzan con HTTPS, y permite los atacantes interceptan las comunicaciones seguras SSL (Secure Sockets Layer) entre las computadoras usando lo que se conoce como un ataque de hombre en el medio.

Aunque la falla solo puede ser explotada bajo ciertas circunstancias, podría ser utilizada para hackear servidores compartidos entornos de alojamiento, servidores de correo, bases de datos y muchas otras aplicaciones seguras, según Chris Paget, un investigador de seguridad que ha estudiado el tema.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

"Es un defecto de nivel de protocolo ". dijo Paget, el director de tecnología de una consultora de seguridad llamada H4rdw4re. "Hay un montón de cosas que tendrán que solucionarse en este caso: navegadores web, servidores web, balanceadores de carga web, aceleradores web, servidores de correo, servidores SQL, controladores ODBC, protocolos punto a punto".

Aunque un atacante primero tendría que hackear la red de la víctima para lanzar el ataque man-in-the-middle, los resultados serían devastadores, especialmente si se usan en un ataque dirigido para obtener acceso a una base de datos o un servidor de correo, Dijo Paget.

Debido a que es ampliamente utilizado, SSL está constantemente bajo el microscopio de los investigadores de seguridad. A fines del año pasado, los investigadores encontraron una manera de crear certificados SSL falsos de los que cualquier navegador confiara, y en agosto los investigadores dieron a conocer un puñado de nuevos ataques que podrían comprometer el tráfico SSL. Pero a diferencia de esos ataques, que tenían que ver con la infraestructura utilizada para administrar los certificados digitales de SSL, este último error recae en el protocolo SSL y será mucho más difícil de arreglar.

Más complicado es el hecho de que el error fue inadvertidamente divulgado en una oscura lista de correo el miércoles, lo que obligó a los vendedores a enloquecer para arreglar sus productos.

El problema fue descubierto en agosto por investigadores de PhoneFactor, una empresa de seguridad de teléfonos móviles. Habían estado trabajando durante los últimos dos meses con un consorcio de proveedores de tecnología llamado ICASI (Consorcio de la Industria para el Avance de la Seguridad en Internet) para coordinar una solución a nivel industrial para el problema, apodado "Proyecto Mogul".

Pero su los planes cuidadosos se desorbitaron el miércoles cuando el ingeniero de SAP Martin Rex tropezó con el error por su cuenta. Aparentemente inconsciente de la gravedad del problema, publicó sus observaciones sobre el tema en una lista de discusión del IETF (Fuerza de trabajo de ingeniería de Internet). Luego fue publicitado por el investigador de seguridad HD Moore.

El miércoles por la tarde, suficientes personas estaban hablando sobre el tema que PhoneFactor decidió hacer públicas sus conclusiones. "En ese momento sentimos que los malos lo sabían y sentimos que teníamos la responsabilidad de que los buenos también lo supieran", dijo Sarah Fender, vicepresidente de marketing de PhoneFactor.

Fender no pudo decir quién estaba listo para parchar el problema, pero señaló que una serie de productos de código abierto están "ansiosos" de sacar un parche. "Creo que veremos algunos parches en el futuro cercano", dijo.

No se pudo contactar al ICASI para hacer comentarios el miércoles por la noche.

Aunque los expertos en seguridad dicen que la falla probablemente ha existido durante años, no es se cree que fue explotado en cualquier ataque.

"Si bien consideramos que es una vulnerabilidad material, no es el fin del mundo", dijo Fender.