Hace tiempo, la ley estadounidense requería de una versión débil de encripción web para que pudiera intervenir cuando quisiera. Ahora, esto se ha vuelto en su contra, en la forma de un terrible error informático.
Investigadores descubrieron una falla –llamada el error FREAK- que puede permitir a un hacker espiar su sesión de Internet y robar la información de inicio.
Este error afecta a varios sitios supuestamente seguros, desde Symantec.com a NSA.gov. El navegador Safari de Apple y algunos navegadores web de Android son vulnerables. (Google Chrome, Mozilla Firefox y Microsoft Internet Explorer no son vulnerables)
Apple dijo a CNNMoney que planea tener una solución para los usuarios de iPhone y Mac la próxima semana en forma de una actualización de software. Google no respondió inmediatamente la petición de comentario.
Kickstarter, WePay, y otros sitios que contienen botones de ‘like’ de Facebook también son vulnerables a esto, dijeron los investigadores.
El problema, explicado
Escondido en lo más profundo del código de algunos navegadores web y sitios, existe una version débil de encriptacion que puede ser violado fácilmente. La única razón por la que existe es por malas políticas estadounidenses que han sido abolidas desde entonces.
En los 90, el gobierno federal restringió la exportación de encripción poderosa de información. Las empresas de cómputo tuvieron que usar dos versiones de encripción: fuerte y débil. Sin embargo, la encripción débil se mantuvo mucho más de lo necesario.
El error informático se encontró el año pasado por investigadores de seguridad académica en el instituto de ciencias de la computación francés, INRIA. Ellos han ayudado silenciosamente a Apple y otros para arreglar este problema desde Noviembre. Lo llamaron el error FREAK, por las siglas de "Factoring Related Attack on RSA Keys." (Ataque relacionado a la factorización de claves de encriptación)
Akamai, una empresa que proveé hosting para sitios web con un nivel extra de protección, hizo público el error el pasado martes. La empresa dijo que está corriendo para resolver el problema para todos sus clientes.
Bill Brenner, un escritor de seguridad de Akamai, menciona que la encriptación vieja es tan mala que cualquiera podría sacar provecho de ella con 100 dólares (1,500 pesos aproximadamente) y un par de horas.
El científico de la computación Karthikeyan Bhargavan, quien dirigió el equipo que descubrió el error FREAK, mencionó que no hay ningún motivo por el cual este tipo de seguridad débil todavía existe.
"¿Por qué está todavía ahí? Sólo dios sabe," él dijo. "Las características sólo crecen en los productos de software. La gente sólo agrega más características y no se tomaron la molestia de limpiar las características viejas. Mucho del software está hinchado de eso."
Podemos considerar este como el primer error informático notable del 2015. No está ni cerca de ser tan malo como los errores Heartbleed o Shellshock del año pasado.
