Una falla en un sistema de encriptación pone en vilo a millones de PC y dispositivos móviles
Conocida en la jerga como Freak, la vulnerabilidad permite que un atacante pueda acceder a datos personales de usuarios de navegadores webde Android, BlackBerry, Safari y Explorer.
Una vulnerabilidad que data desde la década del 90 ahora se presenta como una falla que los especialistas han denominado FREAK (Factoring RSA Export Keys), una modalidad exigida por el gobierno estadounidense que obligaba a las conexiones web seguras a optar por sistemas de encriptación más débiles.
Esta exigencia de Estados Unidos detallaba que todo software destinado a mercados extranjeros debía utilizar claves de encriptación de 512 bits. Por aquel entonces, este requerimiento era considerado seguro, pero con los actuales equipos se puede vulnerar la comunicación en un par de horas, como señala un reporte de la compañía TrendMicro.
Si bien luego se implementaron diversas versiones de protocolos más robustos, como TLS y SSL, utilizados tanto en las transacciones de sitios de comercio electrónico como en diversas plataformas y servicios online, estas prestaciones aún le dan soporte a las exigencias gubernamentales de Estados Unidos.
FREAK fue descubierto por el especialista en seguridad informática Karthikeyan Bhargavan, al advertir que un atacante podría interceptar una comunicación HTTPS entre los usuarios y servidores y forzar a la conexión a utilizar la vieja encriptación de 512 bits exigida por el gobierno estadounidense.
Un reporte elaborado desde el sitio Freak Attack, creado para realizar un seguimiento del incidente, señala que el 36 por ciento de los sitios seguros, entre los cuales se incluyen el mit.edu, planalto.gov.br o motorola.com, están expuestos a esta falla.
FREAK afecta a los principales navegadores web, tanto para dispositivos móviles como para computadoras personales. Microsoft advirtió que su browser Internet Explorer está entre los afectados, y planea lanzar una actualización de seguridad, mientras que Apple anunció una actualización para la próxima semana.
La vulnerabilidad también está presente en las diversas versiones de los navegadores web de Google, además de los browsers de Opera y BlackBerry.
Los especialistas recomiendan que los usuarios actualicen sus navegadores con la última versión disponible junto a los parches de seguridad, y advierten a los administradores de los servidores web a realizar los ajustes correspondientes para deshabilitar el viejo sistema de encriptación exigido por el gobierno estadounidense.