«Freak», el nuevo fallo de seguridad que ha puesto en jaque a Apple y Google

Miles de sitios web han sido comprometidos por unf allo informático fruto de los débiles estándares de encriptación implementados en la década de los noventa para permitir que la agencia de inteligencia estadounidense NSA pudiera espiar las comunicaciones extranjeras.

El fallo, que ha sido bautizado con el nombre de «freak», podría hacer que estos sitios fuesen especialmente vulnerables -entre los que se incluyen sites administradas por el FBI y la NSA- a ataques de hackers, por lo que el problema debe ser resulto de inmediato. Al parecer, los defectos se encuentran en los protocolos criptográficos TLS y en su antecesor, el SSL.

El fallo de seguridad proviene de un «número de códigos de baja complejidad creados en virtud de la presión del gobierno de EE.UU. para asegurar que la NSA era capaz de decodificar todas las comunicaciones extranjeras», tal y como han explicado los investigadores, quienes insisten en que este defecto viene de los bajos estándares de encriptación (cifrado de 512 bits) impuestos por el gobierno de Estados Unidos a los fabricantes de software para la exportación, quienes debían utilizar un sistema muy débil de seguridad en los programas de cifrado que se vendían en el extranjero por motivos de seguridad nacional. El objetivo, aseguran, era seguir teniendo acceso a estos programas cuando fuesen vendidos a países hostiles.

«El tema es importante en sí mismo, pero es sobre todo un buen ejemplo de lo que puede suceder cuando un gobierno establece normas demasiado débiles para los sistemas de seguridad», ha dicho Ed Felten, profesor de ciencias informáticas en la Universidad Princeton.

La infracción fue descubierta por equipos Karthikeyan Bhargavaz, en Francia, en el National Computer y el Instituto de Investigación de Automatización (INRIA), y Matthew Green en los Estados Unidos, un criptógrafo de la Universidad Johns Hopkins, en Maryland.

Safari y Android, afectados

La vulnerabilidad «es una importante lección sobre las consecuencias que puede conducir a la encriptación decisiones políticas», aseguran los descubridores de este nuevo fallo.

Los dispositivos de Apple y Google se han visto afectados por la vulerabilidad «freak». Los navegadores Safari y otros web de Android son vulnerables. Google Chrome, Firefox y Microsoft Internet Explorer no se han visto afectados. Ambas compañías han asegurado ya que van a actualizar sus sitemas para arreglar la falla.

«Freak» recoge así el testigo de «Heartbleed», el error de software que hace casi un año fue descubierto por un grupo de investigadores que trabajan en Google y en la empresa de software de seguridad Codenomicon. Fue el anterior gran «bug» que puso en jaque a toda la comunidad internaicional, pues podía «capturar» y desencriptar desde nombres de usuario hasta contraseñas.

«Aunque la vulnerabilidad afecta a un número significativo de grandes sitios web de todo el mundo, el riesgo para los usuarios, tanto particulares como empresas, de que sus datos sean interceptados por un hacker a través de ella es mínimo, ya que implicaría un enorme esfuerzo hacerlo», ha declarado Mario García, director general de Check Point para España y Portugal.

«Dado que la brecha afecta al navegador Safari en iPhones, iPads y Macs, así como al navegador integrado en Android, pero no a Google Chrome, ni a las últimas versiones de Internet Explorer o Firefox, los usuarios simplemente tienen que cambiar a un navegador que no esté afectado para eliminar cualquier riesgo derivado de esta vulnerabilidad».