Nuevo phishing indetectable

Nuevo phishing indetectable
31 de diciembre, 2008

Investigadores suizos y holandeses han anunciado en la conferencia de seguridad 25C3 en Berlín sobre una nueva forma de falsificar certificados de seguridad para crear páginas web falsas de bancos y otras entidades. Mediante este sistema se podría engañar al navegador y hacer aparecer una conexión con una página como legítima y segura aunque se trate de una web falsa que usurpa la identidad de la original. 

 

Al visitar páginas con las que realizamos ciertos trámites como bancos o tiendas online, nuestro navegador establece una comunicación segura para comprobar si el sitio en cuestión dispone de un certificado de seguridad adecuado y a continuación establece una comunicación cifrada con el mismo. Según un informe presentado en la feria de seguridad de Berlín 25C3, organizada por el Chaos Computer Club, estos certificados podrían falsificarse en algunos casos utilizando la vulnerabilidad de un sistema de cifrado llamado MD5. Este sistema, del que ya anteriormente se ha criticado su debilidad, es utilizado por algunas entidades certificadoras.

 

En esta ocasión la vulnerabilidad podría ser utilizada para falsificar certificados de seguridad, por lo que el navegador podría confundir estos certificados falsos y validar una página web que en realidad no es la auténtica. Esto conduciría a nuevos métodos más sofisticados de phishing, que podrían inducir a los usuarios a confiar a estas páginas falsas información sobre sus cuentas o tarjetas de crédito. El grupo de investigadores consiguió realizar estas falsificaciones mediante un sistema avanzado de ataque por colisión utilizando no un superordenador, sino curiosamente un sistema formado por más de 200 modernas consolas de juego.

 

 

La respuesta de los responsables de los principales navegadores no se ha hecho esperar. Microsoft ha aclarado que el sistema MD5 está cayendo en desuso precisamente por vulnerabilidades apuntadas en el pasado, y que la mayoría de entidades de certificación actuales están pasando al sistema SHA-1, mucho más seguro. De igual forma afirman no tener constancia de ningún ataque de este tipo y que no ven que el anuncio comprometa la seguridad de los usuarios, pues no se han publicado los detalles de cómo se ha conseguido romper el cifrado. Podemos comprobar qué tipo de algoritmo se ha utilizado para la firma haciendo clic o doble clic en el icono de candado que aparece en las conexiones seguras y fijándonos en el apartado algoritmo de firma o similar.

 

 

 

En Mozilla también se ha emitido un comunicado en el que se aclara que no es un ataque específico contra navegadores de Mozilla y que tampoco tienen constancia de este tipo de ataques. Así como Microsoft anima a las entidades certificadoras a pasarse a SHA-1, Mozilla simplemente se da por enterada del posible problema y curiosamente remite al comunicado de Microsoft. Hay que tener en cuenta que aunque la certificación SSL es una manera útil de identificar páginas web legítimas, hay más formas de evitar que seamos víctimas de phising. Entre muchas otras informarnos de los ataques que se están produciendo y no acceder a las páginas web supuestamente legítimas de nuestros bancos o entidades financieras desde un correo electrónico que hayamos recibido.

  

  • Share This