Web Analytics
Conecta con nosotros

Noticias

Nueva vulnerabilidad tras Heartbleed, Internet sigue «rota»

Publicado el

vulnerabilidad tras Heartbleed

El descubrimiento de una vulnerabilidad tras Heartbleed, de la que todavía no ha conseguido ni siquiera recuperarse la red de redes, ha hecho saltar todas las alarmas, poniendo de manifiesto que «Internet está rota».

Por si aquel gran agujero de seguridad no fuera suficiente se acaba de conocer, como anticipamos, una nueva vulnerabilidad que lleva activa más de 16 años, tal y como ha reconocido la Fundación Open SSL, ahí es nada.

Este fallo habría permitido la interceptación y el descifrado de tráfico enviado entre diferentes dispositivos, terminales y servidores, resultando especialmente aprovechable en el caso de conexiones WiFi abiertas.

Nuestro compañero Eduardo ya nos dio un anticipo sobre la misma, y ahora podemos concretar con más detalle las claves de esta vulnerabilidad.

Para llevar a cabo el ataque que permite el aprovechamiento de este fallo se recurre a lo que se conoce como «man-in-the-middle» («hombre en el centro»), que en esencia obliga al PC y al servidor entre los que se produce la comunicación a utilizar claves débiles, algo que aprovecha ese intruso situado entre los dos equipos que se comunican.

Es importante tener en cuenta que este fallo no tiene la misma entidad que Heartbleed, ya que es necesaria esa posición del atacante entre los dos equipos que se comunican («man-in-the-middle»), mientras que con el primero el ataque se puede realizar directamente.

Por su parte la Fundación Open SSL ya ha dado la voz de alarma y ha compelido a usuarios y empresas a actualizar una vez más su software para solucionar este entuerto y evitar disgustos.

Editor de la publicación on-line líder en audiencia dentro de la información tecnológica para profesionales. Al día de todas las tecnologías que pueden marcar tendencia en la industria.

16 comentarios
  • Diego Silberberg

    No entiendo la necesidad de escandalo para estas noticias, está bien que son graves vulnerabilidades , pero el anuncio es que se corrigen no que siguen activas (salvo que estés desactualizado)

  • Isidro Ros

    El escándalo viene por el hecho de que la misma ha estado activa «sólo» 16 añitos, poca cosa.

    Saludos.

  • pillabichos

    Y las que llevaran abiertas desde las primeras versiones de DOS y que nunca sabremos los comunes de los mortales.
    Si al menos el capó se puede abrir se puede llegar a descubrir la avería, aunque se tarde.

  • Isidro Ros

    Es precisamente eso, su antigüedad, y estoy de acuerdo contigo, es probable que existan otras vulnerabilidades desconocidas y quizá más antiguas.

    Lo cierto es que estas cosas dan mucho que pensar.

    Saludos.

  • maximogeek

    Pero pero…. Si Linux es seguro!!!! Ahh no esta es una vulnerabilidad de OpenSSL verdad?

    Lo interesante es que esta vulnerabilidad data ya de hace 16 años cosa que no es poco tiempo, puertas traseras alguien?

  • Que no! que el código abierto lo revisan a cada rato y luego luego informan de las fallas!!

  • Bueno si no puedes encontrar una falla en DOS, parece que no eres muy bueno, o no te va a afectar.

  • Nunca podrán digerir años y años de andar de hocicones con su supuesta seguridad y ahora tenemos esto, mejor a callar y a trabajar, que hay muchas cosas que corregir.

    Eso de este lado lo aprendimos desde hace más de 20 años.

  • maximogeek

    Claaaroo jajajaaj se la pasan viendo el código pero se dan cuenta de las fallas después de 16 años no? Lo que hay que leer.

  • Santi

    Pues nada, se asume, se corrige y se tira para adelante. Hay fallos en todos los software y no por ello dejamos de usarlos.

  • Leonmafioso

    Acuerdate que acá mismo publicaron una vulnerabilidad de x.org que estuvo activa durante 22 años, que permitia escalar privilegios.

  • Jonatan Lobeto Menéndez

    Pues qué quieres que te diga, una pieza tan vital del internet actual debería ser auditada mas a menudo y bien a fondo… si realmente se hiciera esto, otro gallo cantaría (ese es el problema, aunque cualquiera pueda auditar SL, a nadie realmente le apetece leer y releer líneas y líneas de código)

  • maximogeek

    Pero como ya lo dije, segun los linuxeros esto se hace todos los días, de forma gratuita de paso, y segun ellos incluso es casi tan instantáneo que al día siguiente ya lo tienen parchado, pero bueno, a alguien se le escurrió por 16 años no?

  • Jonatan Lobeto Menéndez

    ¿Según los linuxeros o según un fanboy de turno? Un poco e por favor. Y de realismo. Yo no me pongo a auditar a diario como un poseso por puro amor a la paranoia (porque al final, muchos bugs no se descubren en la vida), a no ser que me pagen muy, muy bien; además de que puede ser imposible. Y lo mismo pasa con el resto del mundo, auditar es una de las cosas mas tediosas que existen en el mundo. A pesar de todo, 16 años sí que son muchos, pero ten en cuenta también, pues siempre fue bien sabido, que el equipo al cargo de OpenSSL eran cuatro gatos, muucho trabajo y pocos fondos.

  • maximogeek

    Jajajja en eso estamos de acuerdo, hay mucho linuxtard por acá que le gusta hablar estupideces, de paso en sus vidas han hecho algo de lo que ellos hablan, parece que eso es normal y me estoy acostumbrando.

    Por lo de la cantidad del equipo de desarrollo de OpenSSL no tengo idea, pero de que la mayoría de la gente que está a cargo del desarrollo de algún módulo de Linux es poca y mal pagada por desgracia, al final terminan viviendo de las donaciones que les hacen otras almas caritativas.

    Un saludo, eres de las pocas personas sensatas que entran a este grupo.

  • Jonatan Lobeto Menéndez

    Releyéndome xD, recuerdo que tras Heartbleed varias empresas donaron buenas cantidades al proyecto y además varios voluntarios se han involucrado con el tema. A ver si a partir de ahora ya no nos llevamos sorpresas tan tochas con SSL.

Lo más leído