Estas aquí: PortalProgramas > MilBits > Programas > Seguridad

Comercio electrónico en riesgo por fallo de seguridad

Por Benjamin Segura
Hace 3 años y 4 meses

Un grupo de investigadores ha conseguido romper la seguridad de MD5 creando un certificado digital válido en sitios web seguros que utilicen el protocolo HTTPS. ¿Qué significa eso? Significa que teóricamente ya es posible que un sitio web se haga pasar por otro, y los navegadores no detecten la suplantación de identidad; el conocido phising. Siendo así, un sitio web que usara esta técnica podría hacerse pasar por la web de nuestro banco, y que no fuera posible detectar el problema porque los certificados de seguridad serían válidos.

¿Qué son los certificados digitales?

En Internet los certificados se utilizan para garantizar la seguridad en bancos, tiendas virtuales y otros sitios web donde se mueve información sensible. Todos los certificados que muestran (ya hablamos sobre cómo ver estos certificados en nuestro navegador) están firmados por una Autoridad de Certificación reconocida. Estos investigadores han conseguido crear certificados que simulan estar firmados por alguna de estas Autoridades, y por tanto los navegadores los aceptan como válidos. Es decir, el usuario piensa que está en un sitio web seguro porque se muestran toda la información que así lo indica:

Podemos ver que la conexión es https (http seguro):

Podemos ver el candado

Y el certificado válido

comercio electronico seguridad certificados md5 | milbits

Así que si alguien duplicara su trabajo podrían crear sitios web que suplantaran la identidad de otros (de nuestro banco, de tiendas virtuales...) y no se podría detectar.

¿Se ha roto la seguridad de Internet?

No. En primer lugar han comentado los resultados de su experimento, pero no han explicado cómo lo han hecho. Así que sabemos que se puede hacer pero aún sólo ellos saben cómo. No tienen pensado publicarlo, en parte por los problemas legales que podrían tener. Además para realizar este ataque han necesitado bastante tiempo y cálculos muy complejos, no es algo rápido.

De hecho la vulnerabilidad afecta a MD5, que es sólo uno de los varios algorismos que se utilizan para cifrar certificados; y de hecho la mayoría de certificados utilizan algoritmos más seguros como SHA-1 o SHA-2.

Ésto es simplemente una prueba teórica de que se puede suplantar a algunos sitios web seguros, pero no hay constancia de ataques reales usando esta técnica.

¿Qué vulnerabilidad tiene MD5?

El algorismo MD5 tiene una debilidad llamada "colisión MD5" mediante la que es posible generar diferentes mensajes que se codifiquen en el mismo HASH al usar MD5. Ya hablaron de colisiones MD5 en Kriptópolis. Eso hace que un certificado de seguridad válido

Algunos de los autores que sacan esta notícia ya nos sorprendieron hace un tiempo con un ejemplo práctico de colisiones en MD5 donde aseguraban saber quién sería el próximo presidente en USA. Lo que hicieron fue preparar documentos con todos los nombres de los candidatos y usar las colisiones en MD5 para que todos tuvieran el mismo hash:

3D515DEAD7AA16560ABA3E9DF05CBC80

Por tanto, fuera cual fuera el resultado, todos los documentos serían válidos.

¿Qué soluciones hay?

MD5 es un algorismo poco seguro, se sabe desde hace mucho tiempo. La alternativa era usar SHA-1, pero tampoco es totalmente seguro. Lo mejor es migrar a alternativas aún más seguras, como SHA-2.

¿Qué consecuencias ha tenido la notícia?

Tim Callan (Verisign) dice que no les ha gustado que los investigadores no compartieran esta información con ellos antes, pero que ya han mitigado los efectos del ataque. El problema no es de los navegadores, es un problema que sólo pueden solucionar las entidades Certificadores (CAs), y en ello están trabajando.

Microsoft ha publicado una nota sobre este ataque para informar que sus productos no están afectados.

Más información

Los medios de información más reconocidos ya se han hecho eco de la notícia:

Presentación detallada del ataque
La presentación en PowerPoint
Reseña en Barrapunto
Researchers Use PlayStation Cluster to Forge a Web Skeleton Key en Wired
Group attacks flaw in browser crypto security en SecurityFocus
SSL broken! Hackers create rogue CA certificate using MD5 collisions en ZDnet
MD5 CA hack and the PS3 en ComputerWorld
Web browser flaw could put e-commerce security at risk en Cnet
Research proves feasibility of collision attacks against MD5 de Microsoft
BarraPunto
Ejemplo práctico y en castellano de colisiones en MD5

¿Qué te ha parecido el artículo?

Comparte tu opinión ahora
Compartir con mis amigos

Ponte al día en informática

Recibe gratis los nuevos artículos en tu email

Artículos relacionados
Opina

Cuesta de enero

Temas relacionados

Comparte tu opinión

Tu opinión es importante para todos nosotros.

¿Te gusta estar al día?

Suscríbete por RSS

Temas más comentados sobre Seguridad

Temas populares sobre Seguridad

Últimos comentarios sobre Seguridad

bernardino:
"gracias a ustedes amigos que nos ayudan con diferentes tipos de softwares. esto ha ayudado a gente q..." sobre Programas libres para componer música
Dexter:
"Es predecible las opiniones emanadas en este sitio, sin embargo, objeto en la situación de que si w..." sobre Windows es mejor que Linux
pako:
"hola a todos.
bueno, como ya he dicho en algun sitio, cundo compras un equipo informatico, no pùed..." sobre Windows es mejor que Linux
pako:
"hace 300 años toda la gente pensaba que la tierra era plana, y ,claro, todo el mundo tenia razon.
..." sobre Windows es mejor que Linux
Luis:
"Pako.... despues de tu comentario y perlas como:
-"hace 300 años toda la gente pensaba que la..." sobre Windows es mejor que Linux

Usuarios destacados sobre Seguridad

Rayder (105 opiniones)
redtitle (62 opiniones)
argoefo (42 opiniones)
Benjamin (32 opiniones)
agustin (23 opiniones)

Conoce la Comunidad de MilBits