Descubren un fallo de seguridad en la tecnología de encriptación SSL

El problema está en este estándar de cifrado con 18 años de edad, que sigue siendo ampliamente utilizado en los navegadores web y sites. Expertos de seguridad consultados por Reuters destacan que el fallo permite a los hackers robar los datos de los «cookies» en los navegadores, y consideran que no es tan potente como otras vulnerabilidades.

«Es bastante complicado. El atacante requiere tener una posición privilegiada en la red», ha dicho Ivan Ristic, director de investigación de seguridad de aplicación con Qualys y experto en SSL. Jeff Moss, fundador de la Def Con y asesor para el Departamento de seguridad nacional de Estados Unidos, apuntó que un atacante con recursos podría aprovechar el error para robar las cookies de las sesiones en los navegadores, tomando el control de cuentras de correos electrónicos, redes sociales ó de bancos online que usen esa tecnología.

Mozilla ya ha anunciado que desactivará la encriptación SSL en la última versión de su navegador Firefox tras descubrirse el fallo «Poodle» (Poodle significa caniche en inglés pero en este caso se deriva de las siglas de Padding Oracle On Downloaded Legacy Encryption).

«Al explotar esta vulnerabilidad, un atacante obtener acceso a contraseñas y cookies, introduciéndose en los datos de las cuentas privadas de los usuarios en una web», a dicho Mozilla en su blog.

Twitter ya ha desactivado este protocolo en su plataforma. «Quizás necesitarán actualizar su navegador para poder usar Twitter», ha dicho la empresa a través de un «tuit». Google también ha empezado a remover el protocolo de algunos de sus servicios, por lo que advierten que es posible que algunas páginas web tengan fallos en Chrome, por ejemplo.