El final definitivo del uso de SHA-1 en los principales navegadores web no debería irse más lejos del mes de enero de 2017 pero esa fecha podría ser un plazo excesivamente si se cumplen las previsiones de los analistas de seguridad. Los investigadores de Centrum Wiskunde & Informatica, Inria y Nanyang Technological University, pertenecientes a los tres centros de Países Bajos, Francia y Singapur respectivamente, han sido los que han dado la voz de alarma al respecto de las consecuencias catastróficas que podrían derivarse de una brecha de seguridad explotada por un ataque a gran escala sobre este algoritmo, que podría llegar antes de final de año.

Y es que SHA-1 está presente en un 28% del total de las comunicaciones con certificados digitales que se usan por ejemplo en el comercio online, transacciones bancarias, comunicaciones con páginas web o la descarga de aplicaciones y programas. Mediante un ataque informático sobre el hash de este algoritmo se podría obtener una autenticación en cualquier sitio web que utilice el cifrado de SHA-1 y este problema de seguridad afectaría obviamente a usuarios de cualquier parte del mundo.

El coste de lanzar un ataque sobre SHA-1 ha caído en picado

Desde el año 2012 se viene advirtiendo del riesgo de un ataque sobre SHA-1 pero por aquel entonces se hablaba de que actualmente en 2015 hablaríamos de un coste necesario para llevarlo a cabo que rondaba los 700.000 dólares, por lo que únicamente una avanzada red criminal con capacidad económica suficiente podría plantearse un movimiento agresivo. Pero según los nuevos estudios, el coste de ese ataque podría oscilar entre los 75 dólares y los 120.000 dólares, cifras que quedan mucho más al alcance de un mayor número de ciberdelincuentes que pueden aprovechar la debilidad en SHA-1.

No obstante, esta nueva amenaza no parece ser suficiente aliciente para que las grandes corporaciones se decidan a abandonar definitivamente SHA-1 y únicamente se ha conseguido limitar su uso hasta diciembre de 2016, debido al gran problema que supondría cambiar todos los sistemas y adaptarlos a un nuevo cifrado. El tiempo dirá si esta espera sale cara.

Quizá te interese…

 

Fuente: Ars Technica | adslzone