Nueva vulnerabilidad tras Heartbleed, Internet sigue «rota»

El descubrimiento de una vulnerabilidad tras Heartbleed, de la que todavía no ha conseguido ni siquiera recuperarse la red de redes, ha hecho saltar todas las alarmas, poniendo de manifiesto que «Internet está rota».

Por si aquel gran agujero de seguridad no fuera suficiente se acaba de conocer, como anticipamos, una nueva vulnerabilidad que lleva activa más de 16 años, tal y como ha reconocido la Fundación Open SSL, ahí es nada.

Este fallo habría permitido la interceptación y el descifrado de tráfico enviado entre diferentes dispositivos, terminales y servidores, resultando especialmente aprovechable en el caso de conexiones WiFi abiertas.

Nuestro compañero Eduardo ya nos dio un anticipo sobre la misma, y ahora podemos concretar con más detalle las claves de esta vulnerabilidad.

Para llevar a cabo el ataque que permite el aprovechamiento de este fallo se recurre a lo que se conoce como «man-in-the-middle» («hombre en el centro»), que en esencia obliga al PC y al servidor entre los que se produce la comunicación a utilizar claves débiles, algo que aprovecha ese intruso situado entre los dos equipos que se comunican.

Es importante tener en cuenta que este fallo no tiene la misma entidad que Heartbleed, ya que es necesaria esa posición del atacante entre los dos equipos que se comunican («man-in-the-middle»), mientras que con el primero el ataque se puede realizar directamente.

Por su parte la Fundación Open SSL ya ha dado la voz de alarma y ha compelido a usuarios y empresas a actualizar una vez más su software para solucionar este entuerto y evitar disgustos.