Freak es el nombre del nuevo fallo descubierto en SSL / TLS, la tecnología que, se supone debe proteger tus comunicaciones a través de la red. Lo más grave de esto, es que si la encriptación en la que estás confiando para tus conexiones HTTPS no funciona, cualquier delincuente cibernético podría romperlo e interceptar tus comunicaciones, lanzando ataques hasta conocer tus contraseñas y mensajes privados.
Algunas teorías dan origen a esta falla producto de que en 1990 el propio gobierno de Estados Unidos prohibió la exportación de algoritmos de criptografía fuerte clasificándolos como armas de guerra y facilitando el espionaje fuera de las fronteras de USA a través de la Agencia Nacional de Inteligencia. Actualmente la realidad ha cambiado y el gobierno de Estados Unidos entendió que la prohibición del cifrado fuerte dañaba a las empresas de tecnología e inhibía el crecimiento.
Lamentablemente, los algoritmos débiles todavía se pueden encontrar por ahí en diferentes productos, a pesar de que están deshabilitadas normalmente por defecto. En las últimas semanas, los investigadores han descubierto que podían obligar a los navegadores a utilizar el cifrado más débil y luego romperlo en cuestión de horas, abriendo la posibilidad de robar contraseñas y otras fechorías.
Según una publicación del Washington Post, más de un tercio de los sitios web encriptados, incluyendo los que lleven el icono de “candado” que significa una conexión segura con la tecnología SSL, resultó vulnerable a los ataques en las últimas pruebas realizadas por la Universidad de Michigan. La lista incluye a organizaciones de noticias, pequeñas empresas y sitios de servicios financieros como americanexpress.com. De los 14 millones de sitios web en todo el mundo que ofrecen encriptación, más de 5 millones quedaron vulnerables desde principios de marzo.
Esta vulnerabilidad puede afectar a cualquiera que tenga un iPhone, Android o un Mac OS X a través de los respectivos navegadores, así como a todo aquel que visite alguno de los sitios web que se encuentran en el 12% afectado.
Al parecer, Google ya ha distribuido un parche para proteger las conexiones con dispositivos Android y Apple, por su parte, ya ha anunciado contar con una solución para iOS y OS X que estará disponible en las actualizaciones de software de la próxima semana.
Windows, por su parte, ha indicado que se encuentra trabajando en una solución, que podría venir en forma de parche o como actualización de seguridad.
Si administras un sitio web, freakattack.com sugiere que se desactive el soporte para todos los cifrados inseguros conocidos y se permita la confidencialidad directa.
Te recomendamos visitar el sitio freakattack.com para ver si tu navegador, en particular, es vulnerable. Además, en el sitio podrás acceder a un listado de navegadores y sitios web vulnerables.
