INTECO alerta sobre el problema de seguridad que posibilita los ataques de 'phishing'

El Instituto Nacional de Tecnologías de Comunicación (INTECO), dependiente del Ministerio de Industria y con sede en León, ha emitido una alerta de seguridad que afecta al protocolo de seguridad SSL sobre ataques de 'phishing' (engaño para robar datos de identidad personal, desde contraseñas a tarjetas bancarias).

El impacto podría potenciar ataques de 'phishing' indetectables para los navegadores que actualmente verifican como "Auténticos" los sitios Web que tengan un certificado expedido por autoridades certificadoras

Muchas entidades de banca on-line y comercio electrónico utilizan un protocolo de Internet denominado https, que con la "s" quiere decir http secure o seguro, es decir añade seguridad al estándar que todos usamos en la web conocido como http (hypertext transfer protocol).

De estos protocolos seguros, uno de los más usados es el SSL que se basa en la utilización de los denominados certificados de seguridad.

Estos certificados de seguridad (el popular candado que aparece cuando usamos los servicios de banca electrónica) implican que dichos servicios están bajo dichos protocolos seguros y certifican su seguridad para fomentar la confianza del usuario.

"El certificado electrónico de una entidad es como su DNI, ha recordado a EFE un responsable del Instituto Nacional de Tecnologías de Comunicación (INTECO).

Estos certificados son expedidos por entidades de confianza denominadas "Autoridades Certificadoras", CA tipo Verisign o similares, y se basan a su vez en algoritmos de cifrado y ocultación que impiden matemáticamente su vulneración. Uno de estos algoritmos, quizás el más usado, es el MD5.

Según el experto, "esta alerta de seguridad nos avisa de que este algoritmo MD5 puede ser suplantado dando lugar a un certificado en un servicio al que accede el usuario y que puede parecer verdadero cuando en realidad es falso".

La solución, que ya están implementando las autoridades certificadoras, "pasa por modificar el algoritmo mediante el cual se genera el certificado, cambiando a algoritmos seguros como SHA-1 y SHA-256".

"También hay que señalar que en las últimas versiones de los navegadores más difundidos (Internet Explorer, Mozilla Firefox), ya se contemplaba la debilidad del algoritmo MD5.

En estos navegadores la barra de navegación se muestra verde indicando que esa página web tiene un certificado seguro tras comprobar que ha sido generado con un algoritmo SHA, por lo que este problema no le puede afectar", ha añadido.