El protocolo SSL (Secure Socket Layer; https://) ya no es seguro. Un grupo de investigadores de la Escuela Politécnica Federal de Lausana han descubierto una vulnerabilidad que permitiría acceder a las contraseñas utilizadas por los internautas al conectarse, por ejemplo, a una página de tránsito comercial o a una transferencia bancaria on-line.El protocolo SSL (Secure Socket Layer; https://) ya no es seguro. Un grupo de investigadores de la Escuela Politécnica Federal de Lausana han descubierto una vulnerabilidad que permitiría acceder a las contraseñas utilizadas por los internautas al conectarse, por ejemplo, a una página de tránsito comercial o a una transferencia bancaria on-line.
Según los investigadores dicho error podría considerarse vital en la seguridad en Internet, y permitiría conseguir una contraseña en menos de una hora de un usuario.
Según el director de seguridad y criptografía de EPFL «somos los primeros en haber descubierto esta vulnerabilidad en el protocolo SSL, el procedimiento de seguridad más utilizado habitualmente en las transacciones a través de Internet».
En principio, la Escuela Politécnica había desarrollado un software que comunicaba directamente con la víctima e interceptaba las contraseñas de una persona a través del protocolo ya nombrado. Los científicos se conectaron al programa haciéndose pasar por el usuario y pudiendo leer los correos electrónicos o transacciones financieras en nombre de la víctima.
¿Cuándo sabemos que una página está bajo este protocolo?, la verdad que la alarma no debe saltar, dado que SSL es el protocolo (aún) más seguro de Internet, pero cuando accedemos a una página que empieza por https:// diremos que está bajo ese protocolo.
Notificado a los responsables.
La escuela había transmitido los resultados de su investigación a los responsables de actualizar el SSL y se garantiza que la nueva versión del sistema traerá protección sobre esta vulnerabilidad.
No hay porque preocuparse.
Algunos expertos en criptografía de varios países comunicaron que este error no está dentro de la actualización de seguridad que utilizan la mayoría de entidades bancarias y páginas comerciales para comprar on-line.
Hay parches para arreglarlo.
Así mismo, el profesor Avi Rubin director técnico del Instituto de Seguridad en la Información de la Universidad Johns Hopkins de Maryland, confesó que indirectamente hay parches disponibles para arreglar el problema, que afecta de forma particular al protocolo OpenSSL. Como todos los programas de código libre, OpenSSL también permite que los programadores puedan arreglar este error.
«Esto es algo por lo que nadie tiene que preocuparse» manifestó.