Alertan de un problema de seguridad en la Red que facilita ataques para robar datos bancarios

• Fecha de publicación: 5 de enero de 2009
• Hora de publicación: 07:41

Quiero hacer un comentario

El Instituto Nacional de Tecnologías de Comunicación (INTECO) ha alertado de un problema de seguridad que afecta al protocolo SSL y que podría potenciar ataques de "phishing" (engaño para robar datos bancarios) indetectables para los navegadores que actualmente verifican como "Auténticos" los sitios web que tengan un certificado expedido por autoridades certificadoras como Verisign.

La mayoría de entidades bancarias y comercios on line utilizan un protocolo de Internet denominado https. La "s" quiere decir "secure" o seguro, es decir, añade seguridad al estándar http (hypertext transfer protocol). De estos protocolos seguros uno de los más usados es el SSL, que se basa en la utilización de los denominados certificados de seguridad (el candado que aparece en la parte inferior del navegador).

Estos certificados implican que dichos servicios están bajo un protocolo seguro y certifican su seguridad para fomentar la confianza del usuario. Se basan a su vez en algoritmos de cifrado y ocultación que impiden matemáticamente su vulneración. Uno de estos algoritmos es el MD5 que, en este caso, puede ser suplantado, dando lugar a un certificado en un servicio al que accede el usuario y que puede parecer verdadero cuando en realidad es falso, según advierte el INTECO.

La solución pasa por modificar el algoritmo mediante el cual se genera el certificado, cambiando a algoritmos seguros como SHA-1 y SHA-256. El Instituto afirma que en las últimas versiones de navegadores como Internet Explorer o Firefox ya se contemplaba la debilidad del algoritmo MD5.