El pasado 8 de abril salía a la luz una vulnerabilidad que había estado oculta en la sombra durante años. Conocida como Heartbleed, se trata de un agujero de seguridad en OpenSSL que ha expuesto todo este tiempo las claves secretas que se utilizan para identificar los proveedores de servicios, cifrar el tráfico, los nombres o las contraseñas de los usuarios. Como os contamos en su día, permitía a los atacantes leer 64 KB de la memoria del servidor.

heartbleedUna de las vulnerabilidades más graves encontradas en los últimos tiempos que afectaba a multitud de servicios, entre los que se encontraban Yahoo!, Flickr, 500px, Redtube o la página de XDA Developers. A pesar de que los responsables actuaron con la mayor celeridad posible para atajar este problema, sigue sin erradicarse por completo.

Google, una vez hecho público el fallo de seguridad y al igual que otros, puso en marcha el desarrollo de un módulo de seguridad para su navegador que alertara a los usuarios de los sitios con certificados digitales potencialmente peligrosos para que de esta manera evitarán entrar en estas webs y por tanto, pusieran en peligro sus datos y su información. El problema es que según un informe elaborado por varios expertos de seguridad, la efectividad de este módulo es realmente baja.

Los de Mountain View utilizarían para detectar estos sitios una lista creada y mantenida por ellos mismos, CRL Set, en la que se incluyen aquellas webs que han sido marcadas como vulnerables o alojan contenido malicioso. Es decir, si intentamos acceder a una de estas direcciones automáticamente Chrome nos bloquea el acceso. ¿Cuál es el problema? Como indica el documento, esta lista únicamente incluye un 2% de los certificados digitales que han sido revocados por Heartbleed.

Como leemos en RedesZone, esto quiere decir que Google Chrome no protege contra el 98% de páginas vulnerables. Además, podría ser negativo para el rendimiento de Internet ya que la lista podría incluir certificados digitales caducados que provoquen una sobrecarga en la red. La alternativa a la solución propuesta por Google sería un robot que se encargase de automatizar esta tarea, aunque tendremos que esperar para ver qué medidas adoptan ante el alto riego existente.

 

Fuente: adslzone