Usuarios de Apple y Google espiados durante más de una década

Una enorme falla de seguridad en los dispositivos de Apple y Google dejó a sus usuarios vulnerables a la piratería cuando estos los dirigían a sitios web supuestamente seguros, según investigadores.

Las deficiencias fueron detectadas en el software libre OpenSSL utilizado por el navegador Google Chrome y en los SSL/TSL de Safari.

La mayoría de los usuarios que utilizan cualquiera de los principales sistemas operativos, podían ser espiados cuando ingresaban a ciertos sitios web, lo que permitía que se les robara sus contraseñas y otro tipo de información.

Como se menciona en el portal de el diario The Independent, el error tiene su origen en una vieja política del gobierno de Estados Unidos, la cual no permite a las empresas exportar productos con encriptación «export-grade», lo que significa que tanto computadoras como cualquier tipo de software que se vendiera fuera de EU tendría una seguridad débil.

Aunque dicha norma fue levantada a finales de 1990, este tipo de seguridad ya había sido incorporada en muchas computadoras, permitiendo a piratas informáticos y hackers tener un fácil acceso a datos almacenados en los equipos.

La infracción fue descubierta por equipos Karthikeyan Bhargavaz, en Francia, en el National Computer y el Instituto de Investigación de Automatización (INRIA), y Matthew Green en los Estados Unidos, un criptógrafo de la Universidad Johns Hopkins, en Maryland.

Los hackers fueron capaces llegar a los archivos en las PC, cuando estas se conectaban a «sitios seguros». Para que el intercambio de información se dé, los navegadores de Internet intercambian «claves» con los sitios web, para que estos puedan identificarlos.

Dichas claves deben estar cifradas, pero dado en bajo nivel de seguridad, los hackers pudieron interceptarlas, encontrar una vulnerabilidad e interrumpir la comunicación y por ende tomar lo que desearan de la misma.

Apple se encuentra preparando una solución para el problema, para su navegador Safari en computadoras y teléfonos. Aunque Chrome no es vulnerable, el navegador que viene con el sistema Android si lo es, por lo que Google ha desarrollado un parche para arreglar el problema.

Los investigadores de ambas compañías han llamado a esta problemática, la falla «Freak», cuyos defectos se encuentran en los protocolos criptográficos TLS (‘Transport Layer Security’, ‘seguridad de la capa de transporte’) y en su antecesor el SSL (‘Secure Sockets Layer’, ‘capa de conexión segura’), responsables de asegurar una comunicación segura en una red, informa la revista Forbes.

El problema surgió debido a que hace 20 años Washington requirió a las compañías que simplificaran la encriptación de software hasta una longitud máxima del código equivalente a 512 bites, una longitud que actualmente puede ser fácilmente hackeada, a diferencia de los códigos de 1024 bits que se utilizan ahora.