Después de Heartbleed se descubre nuevo fallo en OpenSSL

Expertos en el campo de la seguridad están todavía tratando de cerrar puertas abiertas tras detectarse el enorme problema que revolucionó Internet y que cuestionaba la seguridad del protocolo de cifrado OpenSSL: Heartbleed. Y es que pocos cuestionaban la fiabilidad de dicho protocolo, hasta lo sucedido.

Heartbleed, un bug que pone en riesgo todo Internet

Ahora, y cuando todavía 12.000 conocidos dominios siguen siendo vulnerables a Heartbleed, se conoce un nuevo fallo de seguridad que afecta a OpenSSL.

Este jueves, la fundación OpenSSL ha advertido a los usuarios que un fallo de hace 10 años puede hacer posible que un atacante pueda llevar a cabo un ataque tan conocido como es el de man-in-the-middle, pese a que el tráfico esté cifrado usando el protocolo. El aviso advierte a los usuarios de que alguien podría descifrar y leer el tráfico intercambiado usando el protocolo.

Se aconseja a los usuarios de OpenSSL (sitios web) que actualicen y desplieguen la última versión de OpenSSL. El fallo fue descubierto por un investigador de seguridad japonés de la firma de seguridad Lepidum, Masashi Kikuchi, que declaraba que "los atacantes pueden escuchar a escondidas y hacer falsificaciones en la comunicación cuando tanto el servidor como el cliente son vulnerables".

A diferencia de Heartbleed, que se podía usar directamente para atacar a cualquier servidor, este nuevo fallo necesita de que el atacante esté ubicado entre dos equipos que estén llevando a cabo la comunicación, lo que podría ocurrir por ejemplo si un usuario está empleando la conexión WiFi de un aeropuerto, por lo que cabe llevar precaución, especialmente en dichas situaciones

Si bien es cierto que por el hecho de ser "open source" el protocolo OpenSSL es más seguro y fiable que los protocolos de código cerrado producidos por compañías, la verdad es que últimamente no está atravesando uno de sus mejores momentos.

Seguiremos cubriendo toda la información que acontezca.