Un tercio de internet en peligro

Debido a un fallo de programación, los buscadores podrían ser vulnerables ante ataques de hackers

En los años 1980 una ley estadounidense prohibía la exportación de productos de software o hardware que tuvieran un grado de encriptación alto y señalaba que cualquier producto que tuviera relación con la informática y con internet y que se vendiera a otro país debía llevar un nivel de encriptación más bajo. Los sistemas de encriptación son herramientas que utilizan programas o páginas web para asegurar el tráfico de datos. Por ejemplo, cuando se compra cualquier cosa en la red, si la página es segura, aparecerá un candado que sirve de garantía de que la información personal (número de tarjeta, domicilio, códigos) será enmascarada de algún modo para que nadie pueda leer esos datos. Cuanto más complejo es el programa de encriptación, más difícil es para un hacker poder vulnerar sus defensas. Lo que hacen, básicamente, es cambiar parte de la información, supongamos el nombre, por una serie de letras, números y caracteres. Éstos se conocen como llaves. Cuanta mayor es la longitud de la llave, es decir, el número de bits que se usan, más complejo será el programa de encriptación.

El objetivo de la ley era que estas herramientas no fueran utilizadas para ocultar mensajes entre organizaciones violentas, transmitir dinero ilegal vía internet, traficar con tecnología militar o cualquier otro tipo de delito que precisara programas de criptografía. El máximo aceptado por esta ley era de 512 bits. Según comprobaron a finales de los años 1990 expertos de la Universidad John Hopkins, para desencriptar una llave de 512 bits de información es necesario la potencia informática de unos 75 ordenadores trabajando durante siete horas. Hoy eso se puede conseguir por unos 75 euros a través de servicios en la nube. En la actualidad, los sistemas de encriptación trabajan con llaves de unos 2.048 bits. Para abrirlas serían necesarios cientos de millones de ordenadores trabajando durante un lustro.

Más de veinte años atrás, las restricciones cesaron y los expertos pensaron que la encriptación de 512 bits había desaparecido.

El problema es que el software que contenía este nivel de seguridad, ahora muy bajo, se difundió por todo el mundo y regresaron a Estados Unidos en distintos programas sin que nadie lo advirtiera. Hasta que esta semana Karthikeyan Bhargavan, investigador del laboratorio francés de Ciencias de la Computación INRIA lo descubrió.

El fallo, conocido como «Freak», permite vulnerar las comunicaciones entre servidores web. Inicialmente se pensó que sólo había afectado a usuarios de teléfonos Android y Blackberry y al buscador Safari de Apple. Pero la plaga era mucho mayor.

Sitios como Whitehouse.gov, NSA.gov y FBI.gov han demostrado ser vulnerables.

Más de un tercio de los sitios web encriptados-incluyendo aquellos que llevan el icono del «candado» que significa una conexión segura con la tecnología SSL-demostró tener esta debilidad a los ataques, según pruebas realizadas por los investigadores Alex Halderman y Zakir Durumeric de la Universidad de Michigan. «De los catorce millones de sitios web en todo el mundo que ofrecen encriptación, más de cinco millones quedaron vulnerables desde la mañana del martes», afirmó Halderman.

El buscador Google Chrome no puede hackearse por este fallo, pero el que viene incluido en los dispositivos Android sí es vulnerable a un ataque.

Apple, por su parte, aseguró que está intentando crear un parche para que esto no afecte a sus equipos. Y Microsoft, en un comunicado del día 5 de marzo, señalaba que cualquier versión actual de Windows que utilice Internet Explorer o cualquier otro software, aunque no sea de Microsoft, pero que utilice una parte de Windows conocida como Secure Channel (para asegurar las compras en sitios web), también estaba indefenso ante el fallo Freak.

El mayor problema de todo esto es que dentro de la programación están conviviendo dos sistemas casi opuestos.

Christopher Soghoian, especialista en tecnología y seguridad, sostiene que «no se puede tener un sistema seguro y uno inseguro al mismo tiempo. Estos fallos terminarán por impactar en todos los usuarios». Y puede que sea verdad. Microsoft ha emitido un aviso de seguridad en el que se explica de qué modos se puede quitar la vulnerabilidad producida por Freak de algunos de sus programas, pero ha recordado que hacerlo puede provocar problemas graves en otros programas. Debido a ello, millones de usuarios estarían cerca de perder sus datos.

A partir de ahora, cualquier medida que se tome será correr riesgos. Si se eleva el nivel de seguridad, muchos programas, páginas web e información personal pueden verse comprometidos. Y si se decide bajar el estándar se deja la puerta abierta ante los ataques de cibercriminales en gran parte de los sitios que hasta ahora se consideraban seguros.

Usando servicios en la nube, los hackers pueden realizar ataques conocidos como «hombre en medio» en los cuales se intercepta la comunicación encriptada entre servidores. Para ello sólo basta tener acceso a la red, sin importar si se trata de una conexión privada o una red wifi (que también son vulnerables a este error) de un aeropuerto o una cafetería. Ésta es una práctica común de los gobiernos que espían las comunicaciones en red de sus ciudadanos. O de gobiernos ajenos.

Hasta la fecha no hay modo de saber quiénes y cuánto han utilizado Freak para hackear internet. Lo que sí se sabe es que hacerlo es sencillo. Y reparar el error va a ser muy complicado.