Poodle, el fin de SSL

17/10/2014

Recientemente se ha identificado una vulnerabilidad crítica en SSL, empleado ampliamente en el cifrado de comunicaciones digitales. El equipo de Google Project Zero ha identificado una vulnerabilidad sobre el propio protocolo (SSL v3) que puede permitir a un atacante descifrar la información enviada. Es importante destacar que dado que se trata de una vulnerabilidad sobre el método de cifrado, no va a publicarse ningún tipo de parche (hablando estrictamente del protocolo). Por estos motivos se desaconseja su uso siempre que sea posible.

A pesar de que en la actualidad el protocolo ha sido ampliamente sustituido por TLS, éste último, cuando detecta problemas en las comunicaciones o no se gestiona adecuadamente el intercambio de mensajes inicial, opta por hacer uso de SSL v3. Un atacante podría sabotear las comunicaciones y forzar a un par cliente/servidor a usarlo, y de este modo podría interceptar y descifrar la información intercambiada.

Para los usuarios, en breve los desarrolladores de los principales navegadores publicarán actualizaciones que deshabiliten por completo el uso de SSL v3, mitigando el riesgo. Se recomienda actualizarlos en cuanto las mismas estén disonibles. Por otro lado, es recomendable que los administradores de sistemas deshabiliten el uso de SSL v3 en sus servidores, permitiendo únicamente el uso de protocolo TLS; insistimos, siempre que sea posible.

Facilitamos más información sobre la vulnerabilidad y las medidas a tomar en la siguiente alerta de seguridad publicada en nuestro portal.

    Alerta

  • SSL tocado y hundido - 16/10/2014
    Hoy despedimos a SSL. El último clavo necesario para la tapa de su ataúd fue amartillado por tres investigadores a nómina de Google. No tuvo una existencia fácil. Ya desde su nacimiento demostró una debilidad que le auguraba un porvenir lleno de complicaciones.