Una nueva debilidad descubierta en el sistema de cifrado Open SSL podría ser utilizada para espiar directamente las comunicaciones de los usuarios.
Tatsuya Hayashi, el investigador que ha descubierto el bug informó al diario inglés The Guardian, sobre la posibilidad de que este nuevo fallo de seguridad termine siendo incluso más peligroso que Heartbleed, un agujero de seguridad descubierto hace apenas dos meses, que ha puesto en evidencia la vulnerabilidad de Open SSL, uno de los sistemas de cifrado de datos más usados en la red.
Según Hayashi, un hacker podría utilizar esta debilidad en un sistema de Wi-Fi público, para romper la encriptación de las comunicaciones entre usuario y servidor.
El hacker podría entonces realizar un ataque MITM (Man In The Middle), apoderándose de claves de usuario y contraseñas para robar datos o modificar las comunicaciones sin que la víctima sospeche lo que está pasando.
"En redes Wi-Fi abiertas, el atacante podría escuchar a escondidas y falsificar las comunicaciones encriptadas", asegura Hayashi. "La víctima no detectaría ningún rastro del ataque".
El bug afecta a todos los softwares para PC y móvil que usen versiones Open SSL anteriores a la última versión y servidores que usan Open SSL 1.0.1 y la versión beta 1.0.2.
Según especifica la alerta publicada por Open SSL.org:
Los usuarios OpenSSL 0.9.8 SSL/TLS (client and/or server) deben actualizar a 0.9.8za.
Los usuarios OpenSSL 1.0.0 SSL/TLS (client and/or server) deben actualizar a 1.0.0m.
Los usuarios OpenSSL 1.0.1 SSL/TLS (client and/or server) deben actualizar a 1.0.1h.
Ver también:
Un peligroso bug llamado Heartbleed amenaza la seguridad en la red