La seguridad de nuestras comunicaciones están en entredicho con Logjam

Un grupo de expertos en seguridad ha detectado una nueva vulnerabilidad que podría poner en serio peligro los datos transferidos sobre una conexión cifrada, teóricamente segura, entre un usuario y una web o servidor de correo, ya que permitiría a cualquier atacante malicioso debilitar ese cifrado.

La vulnerabilidad en cuestión, bautizada como Logjam, afectaría a miles de webs con cifrado HTTPS, servidores de correo y servicios web, y se estima que un 8,4% del millón de webs más importantes estarían en riesgo, junto con un porcentaje mucho más significativo de servidores de correo.

La seguridad del algoritmo Diffie-Hellman en entredicho

El problema resulta de un fallo en el protocolo de seguridad de la capa de transporte de las webs y servidores de correo que utilizan Diffie-Hellman, un algoritmo criptográfico bastante popular que permite a diferentes protocolos de Internet llegar a un acuerdo sobre una clave compartida y negociar una conexión segura, incluso si se comunican sobre un canal público que es inseguro. Es fundamental en muchos protocolos, incluyendo HTTPS, SSH, IPsec, SMTPS y cualquier otro que dependa de TLS.

Los protocolos afectados por LogjamLos protocolos afectados por Logjam

Diffie-Hellman era precisamente considerado uno de los métodos presumiblemente más seguros a usar a la hora de negociar un canal seguro de comunicación, por lo efímero de las claves usadas para el cifrado, que se generaban al vuelo para cada sesión.

Sin embargo, parece que hay varios problemas con cómo se ha implementado el Diffie-Helman y uno de ellos permitiría a los atacantes monitorizar la conexión entre el usuario y el servidor, y lograr debilitar una conexión cifrada segura hasta una encriptación de 512 bits, pudiendo deducir la clave que se ha negociado. Por lo tanto, el atacante podría leer y modificar cualquier dato transferido usando esa conexión

Como podéis ver se trata de una vulnerabilidad muy parecida a FREAK, anunciada hace unos meses. De hecho, se descubrió gracias a estudios de seguimiento de este bug anunciado en marzo. La gran diferencia entre ambas vulnerabilidades es que en este caso se debe principalmente a un fallo en el protocolo TLS en sí y que ataca al cifrado Diffie-Hellman, en lugar del sistema criptográfico RSA.

El Gobierno de Clinton tiene toda la culpa

Los investigadores que han descubierto Logjam achacan el problema a las restricciones de exportaciones de claves impuestas por el gobierno estadounidense durante los años 90 a los desarrolladores que querían que sus productos se usaran en extranjero.

Las limitaciones implementadas por la Administración Clinton tenían en mente permitir al FBI poder romper el cifrado utilizado por entidades extranjeras. Ahora resulta irónico que precisamente el origen del problema sea la política restrictiva de Estados Unidos en relación a la exportación de claves.

Según J. Alex Halderman, uno de los investigadores que ha desvelado la existencia de esta vulnerabilidad, en palabras a Ars Technica, la decisión de EE.UU. por aquel entonces ahora supone una gran amenaza para la integridad de Internet.

Logjam nos muestra una vez más porqué es una idea terrible debilitar la criptografía de manera intencionada, justamente lo que el FBI y algunas agencias de seguridad quieren hacer ahora. Eso es exactamente lo que EE.UU. hizo durante los 90, con restricciones a la exportación de claves y ahora tenemos esa puerta trasera abierta de par en par, amenazando la seguridad de gran parte de la web.

De momento, los principales navegadores ya están trabajando para solucionar el problema, ya que inicialmente afecta a todos ellos. Microsoft ya ha lanzado un parche para Internet Explorer y se espera que lo mismo ocurra con Chrome, Firefox y Safari en breve.

Como usuarios de a pie, lo único que podemos hacer de momento es procurar tener nuestro navegador actualizado a la última versión y estar atentos a posibles actualizaciones que deberían resolver el problema a lo largo de los próximos días.

Yuri Samoilov editada con licencia CC 2.0

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?