10.6.14

Nueva amenaza en Internet, Handshake

La función de seguridad que resguarda la confidencialidad de tu comunicación web (el mismo software de criptografía afectado recientemente por la falla Heartbleed) tiene más problemas.

Handshaking es un proceso automatizado de negociación que establece de forma dinámica los parámetros de un canal de comunicaciones establecido entre dos entidades antes de que comience la comunicación normal por el canal.

De ello se desprende la creación física del canal y precede a la transferencia de información normal.
Actualmente se está utilizando como un bug que permite a hackers hurgar tu sesión de un WiFi público, principalmente en móviles Android; el error se detectó al momento en que los móviles se comunican con los servidores de Internet.

esta semana, los investigadores de seguridad descubrieron un problema en la forma en que ‘se dan la mano’ o establecen esa conexión. La falla permite que un hacker que opera entre el usuario y un sitio web -por ejemplo, alguien conectado a la misma red pública WiFi- fisgonee tu sesión de Internet.

Esta falla no es tan devastadora como Heartbleed. Los únicos navegadores importantes a los que afecta son los del sistema operativo móvil Android de Google. Y para que un hacker explote esa grieta, tú y el sitio web deben estar ejecutando versiones vulnerables del software de encriptación, conocido como OpenSSL.
Aunque no es tan grave, es otra llamada de atención que delata que tu seguridad en Internet depende de un puñado de personas sin sueldo. La Fundación OpenSSL es un pequeño equipo de programadores informáticos que apenas recientemente comenzaron a recibir apoyo financiero adicional de muchas empresas que usan ese software.

La Fundación Linux dijo que OpenSSL ha recibido alrededor de la mitad de los 5.4 millones de dólares que hasta la fecha han donado las empresas a la Core Infrastructure Initiative, una iniciativa que busca mejorar la seguridad en Internet.

De hecho, muchos expertos dicen que la única razón por la que pudo detectarse la falla Handshake es porque, después de Heartbleed, más voluntarios están peinando exhaustivamente el código informático OpenSSL. El mundo puede darle las gracias a Masashi Kikuchi, un experto en software de seguridad de la pequeña consultora japonesa Lepidum, que decidió revisar el código personalmente.

“La principal razón de que la falla no fuera detectada en 16 años es porque las revisiones de código son insuficientes”, escribió Kikuchi en una entrada de blog.

La falla ya ha sido corregida, y ahora toca a los fabricantes de navegadores web y a los servidores de sitios web actualizar sus sistemas. Según Adam Langley, un investigador de Google, estos navegadores son seguros:
  • Internet Explorer
  • Firefox
  • Chrome (para escritorio, iOS)
  • Safari

De acuerdo con el director de ingeniería de Qualys Ivan Ristic, estos navegadores son vulnerables:
  • Android
  • Chrome (para Android)

“No debería causarnos sorpresa que haya más fallas en OpenSSL”, señaló Jean Taggart, un investigador de Malwarebytes, fabricante de antivirus. “La seguridad es un proceso, no un producto”.

Si te preocupa el bug, la mejor manera de evitarlo es mantenerse limpio: no usar la WiFi de extraños.