Hace unos días, un grupo de investigadores de Google han descubierto una vulnerabilidad en el protocolo SSL, el más extendido hasta ahora en cuanto a seguridad en la web. Dicha vulnerabilidad ha sido bautizada como “poodle” y es muy probable que haya marcado un antes y un después en el procotolo que utilicen los servidores web.
¿Cuál es el problema?
Qué miles de servidores de todos los países pueden estar utilizando actualmente este protocolo y es imposible imponer un cambio de un día para otro.
Por ponernos en antecedentes, el protocolo SSL tiene casi 20 años y siempre ha sido conocido como algo primordial para cualquier servidor que trate con datos sensibles.
¿Qué hace exactamente el protocolo SSL?
El protocolo SSL cifra las conexiones que hay entre el cliente y el servidor, para que un tercero no pueda espiar el tráfico del cliente.
Por simplificarlo, es cómo si haces una llamada desde un teléfono fijo a una tienda, y un tercero levanta otra línea de fijo desde el mismo origen, donde escucharía la llamada, y podría obtener datos como los dígitos de tu tarjeta de crédito. El protocolo SSL era el encargado de hacer que ese tercero no pudiera entender lo que estabas diciendo.
Pero si yo no voy a conectarme desde una conexión no segura….
Claro, claro. Pero, ¿Y si alguien está conectado en tu wifi y no lo sabes? Sería posible que tuviera tus datos bancarios. ¿Y si te conectas en un aeropuerto? ¿En una cafetería? ó ¿en la wifi del ayuntamiento?.
¡Tonterías! Yo no realizo compras por internet
No afecta al que sólo hace compras. Algo tan sencillo como acceder al tu correo electrónico podría convertirse en inseguro, ya que un atacante podría obtener tu usuario y contraseña ó leer tus conversaciones en servicios de mensajerías.
¿Pero puedo hacer algo?
Actualmente hay un protocolo que es más seguro (TLS), para poder conectarte utilizando dicho protocolo debe ser soportado por cliente y servidor. Un atacante podría forzar a no utilizar TLS fingiendo que no soporta TLS. La única forma de evitar esto es conectar a servidores que no soporten SSL.
En ese caso es imposible que conectemos mediante SSL. (Si bien es más seguro que conectar a servidores con ningún cifrado).
Aún habrá que esperar unos meses a que todos o la mayoría los servidores utilicen TLS.
¿Qué hago mientras tanto?
Podrás navegar con la última versión de Firefox (Firefox 35, sale en enero), se han comprometido a desactivar SSL de su navegador. Si bien puedes desactivar SSL en cualquier navegador y te decimos cómo.
Internet Explorer:
Herramientas -> Opciones de Internet -> Opciones Avanzadas
Quitamos la selección sobre todas las casillas Usar SSL
*Para Google Chrome se desactiva, una vez desactivado en Internet Explorer.
En Firefox (¡sólo usuarios expertos!):
Entrar en la página de configuración:
About:config
Buscar la línea security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref y cambiar su valor a false.
De cualquier forma os recomendamos cualquiera de las soluciones más sencillas.
¿Y vosotros, habéis tenido alguna desagradable experiencia relacionada con la seguridad en la trasmisión de datos?
Si te interesa el mundo de la seguridad informática puedes solicitar más info sin compromiso de nuestro Curso de Formación en Seguridad de Redes (avalado por la Universidad de Alcalá, líder en empleabilidad):