Noticias
Nuevo phishing indetectable
Investigadores suizos y holandeses han anunciado en la conferencia de seguridad 25C3 en Berlín sobre una nueva forma de falsificar certificados de seguridad para crear páginas web falsas de bancos y otras entidades. Mediante este sistema se podría engañar al navegador y hacer aparecer una conexión con una página como legítima y segura aunque se trate de una web falsa que usurpa la identidad de la original.
Investigadores suizos y holandeses han anunciado en la conferencia de seguridad 25C3 en Berlín sobre una nueva forma de falsificar certificados de seguridad para crear páginas web falsas de bancos y otras entidades. Mediante este sistema se podría engañar al navegador y hacer aparecer una conexión con una página como legítima y segura aunque se trate de una web falsa que usurpa la identidad de la original.
Al visitar páginas con las que realizamos ciertos trámites como bancos o tiendas online, nuestro navegador establece una comunicación segura para comprobar si el sitio en cuestión dispone de un certificado de seguridad adecuado y a continuación establece una comunicación cifrada con el mismo. Según un informe presentado en la feria de seguridad de Berlín 25C3, organizada por el Chaos Computer Club, estos certificados podrían falsificarse en algunos casos utilizando la vulnerabilidad de un sistema de cifrado llamado MD5. Este sistema, del que ya anteriormente se ha criticado su debilidad, es utilizado por algunas entidades certificadoras.
En esta ocasión la vulnerabilidad podría ser utilizada para falsificar certificados de seguridad, por lo que el navegador podría confundir estos certificados falsos y validar una página web que en realidad no es la auténtica. Esto conduciría a nuevos métodos más sofisticados de phishing, que podrían inducir a los usuarios a confiar a estas páginas falsas información sobre sus cuentas o tarjetas de crédito. El grupo de investigadores consiguió realizar estas falsificaciones mediante un sistema avanzado de ataque por colisión utilizando no un superordenador, sino curiosamente un sistema formado por más de 200 modernas consolas de juego.
La respuesta de los responsables de los principales navegadores no se ha hecho esperar. Microsoft ha aclarado que el sistema MD5 está cayendo en desuso precisamente por vulnerabilidades apuntadas en el pasado, y que la mayoría de entidades de certificación actuales están pasando al sistema SHA-1, mucho más seguro. De igual forma afirman no tener constancia de ningún ataque de este tipo y que no ven que el anuncio comprometa la seguridad de los usuarios, pues no se han publicado los detalles de cómo se ha conseguido romper el cifrado. Podemos comprobar qué tipo de algoritmo se ha utilizado para la firma haciendo clic o doble clic en el icono de candado que aparece en las conexiones seguras y fijándonos en el apartado algoritmo de firma o similar.
En Mozilla también se ha emitido un comunicado en el que se aclara que no es un ataque específico contra navegadores de Mozilla y que tampoco tienen constancia de este tipo de ataques. Así como Microsoft anima a las entidades certificadoras a pasarse a SHA-1, Mozilla simplemente se da por enterada del posible problema y curiosamente remite al comunicado de Microsoft. Hay que tener en cuenta que aunque la certificación SSL es una manera útil de identificar páginas web legítimas, hay más formas de evitar que seamos víctimas de phising. Entre muchas otras informarnos de los ataques que se están produciendo y no acceder a las páginas web supuestamente legítimas de nuestros bancos o entidades financieras desde un correo electrónico que hayamos recibido.
Teufel AIRY TWS 2, análisis: versatilidad y autonomía
El HarmonyOS de Huawei quiere ser alternativa a iOS y Android en todo el mundo
GIGABYTE XTREME Prestige, belleza y rendimiento extremos
Apple anuncia un evento en mayo, nuevos iPad en camino
Zilog finaliza la producción de los Z80, un chip mítico
Microsoft Store agiliza la instalación de aplicaciones vía web, con peros
10 sitios web para descargar libros electrónicos gratuitos
Requisitos de Ghost of Tsushima, llegará a PC el 16 de mayo con DLSS 3 y FSR 3
OMEN Transcend 14, un ultraligero todoterreno con GeForce RTX 4070
Las mejores alternativas a la Google Play Store para descargar apps Android
Novedades VOD 16/24: ‘Rebel Moon’, la película que deja marcas
Telefónica cumple 100 años, repasamos su historia
Teufel AIRY TWS 2, análisis: versatilidad y autonomía
Los 60 FPS no serán obligatorios en PS5 Pro, nuevo modo ultra boost
El final de Microsoft Office 2016 y 2019 está muy cerca
Qué es más importante para jugar online y tener una buena experiencia
Instant NeRF, imágenes 3D partiendo de imágenes 2D gracias a la IA
Las mejores alternativas a la Google Play Store para descargar apps Android
-
GuíasHace 2 días10 sitios web para descargar libros electrónicos gratuitos
-
NoticiasHace 7 díasRequisitos de Ghost of Tsushima, llegará a PC el 16 de mayo con DLSS 3 y FSR 3
-
NoticiasHace 6 díasOMEN Transcend 14, un ultraligero todoterreno con GeForce RTX 4070
-
A FondoHace 7 díasLas mejores alternativas a la Google Play Store para descargar apps Android