Otras páginas Web también podrían estar en peligro. Y es que, un fallo en el protocolo utilizado para asegurar las comunicaciones en Internet podría haberse utilizado para atacar cuentas Twitter. Es lo que afirman investigadores de seguridad de IBM.

La semana pasada, Anil Kurmus demostró cómo un fallo en el protocolo SSL, Secure Sockets Layer, podía utilizarse para engañar a las víctimas a la hora de enviar mensajes de Twitter que contendrían información sobre sus contraseñas. Para que el citado fallo fuera explotado, los hackers debían encontrar primero un modo de acceder a la red de la víctima, lanzando lo que se conoce como un ataque man-in-the middle, de modo que sería difícil que afectar a un gran número de usuarios de Twitter con esta técnica. Este problema fue rápidamente solucionado por Twitter, pero diferentes expertos en seguridad se siguen planteando cuántas páginas Web podrían sufrir un problema similar.

Un consorcio de compañías de Internet se ha unido para resolver este problema desde el pasado 5 de noviembre, cuando fue hecho público de manera inadvertida en una lista de discusiones. Pero lo cierto es que, desde entonces, se han producido diferentes debates sobre el alcance del problema. Poco tiempo después de que fuera hecho público, el investigador de seguridad de IBM, Tom Cross, afirmó que las principales aplicaciones Web no se verían afectadas por el mismo. Sin embargo, Cross cambió de opinión al escribir “desafortunadamente, la situación es peor de lo que yo pensaba”.

Las aplicaciones de correo electrónico podrían también correr peligro. Y los expertos en seguridad han mostrado su preocupación por otras aplicaciones como las bases de datos, por ejemplo.

Twitter.com fue vulnerable al ataque porque hacía lo que se conoce como renegociación de cliente bajo SSL. Esto proporciona a la página Web un modo de pedir al usuario de Twitter un certificado SSL una vez que el usuario se haya conectado a la Web. Se trata de una herramienta muy útil para páginas que permiten a los usuarios conectarse utilizando tarjetas inteligentes o en páginas que restringen el acceso a un grupo selecto de internautas predefinidos. Sin embargo, hasta que el fallo esté resuelto, la renegociación de clientes también abre la puerta a los ataques SSL.

Todo parece indicar que hay muchas páginas Web como Twitter que permiten la renegociación de clientes simplemente porque está integrada en el protocolo SSL y en su sucesor, TLS (Transport Layer Security).

Las buenas noticias son que muchas páginas puede deshabilitarlo simplemente, que es, aparentemente, lo que han hecho en Twitter, aunque no han querido hacer declaraciones al respecto. Según Ray, la gente debería darse cuenta de que, aunque el fallo SSL no es catastrófico, “es un serio problema y es necesario resolverlo”. 

17/11/2009 Paula Bardera

Google acaba de desvelar un sistema automatizado de escaneo de aplicaciones Android que puedan contener malware potencialmente o sigan una conducta no autorizada, en un movimiento que sus críticos llevan mucho tiempo ...  [noticia completa]

Finlandia, Suecia e Israel son los Estados mejor preparados ante posibles ...  [noticia completa]

Los hackers pueden explotar el correo electrónico para colarse en tu puesto de trabajo. Utiliza cinco técnicas muy sencillas para ...  [noticia completa]

La mayor campaña de malware contra Android puede haber llevado a cerca de 5 millones de usuarios a descargar aplicaciones ...  [noticia completa]

Empresas como Facebook, Google, Microsoft, Yahoo o LinkedIn, entre otras, proponen un nuevo protocolo, DMARC, que podría defender a los usuarios frente a mensajes ...  [noticia completa]

El pasado año fue uno de los más negros en cuanto a ataques contra la plataforma Apple, según un reciente estudio que se acaba de publicar. ...  [noticia completa]

Los expertos en seguridad recomiendan a los usuarios de smartphones que comprueben la autenticidad de los códigos QR antes de ...  [noticia completa]

La Unión Europea ha aprobado una nueva normativa sobre protección de datos que, además de acoger el "derecho al olvido", obligará a las empresas a notificar las violaciones de datos graves en menos de 24 ...  [noticia completa]

IPExpo, que se celebrará los próximos 13 y 14 de junio en Madrid, se ha presentado como un “híbrido” entre la feria y el evento tecnológico con el objetivo de ser un punto de encuentro “3.0” de las empresas y profesionales que quieran hacer negocio y ...  [noticia completa]

A partir del 1 de marzo, Google tendrá una nueva política de privacidad, que será única y común para todos sus servicios. De esta forma, unificará todos los datos que posee de sus usuarios para ofrecer “servicios más intuitivos y personalizados”. ...  [noticia completa]