Descubren una vulnerabilidad que afecta al protocolo de cifrado web HTTPS

HTTPS, el protocolo seguro de transferencia de hipertexto en Internet, podría no ser tan seguro como su nombre indica.

Y es que una investigación comandada por expertos de las Universidades de Illinois, Londres y Eindhoven ha sacado a la luz una debilidad en RC4, un algoritmo de cifrado que suele ser utilizado para asegurar las comunicaciones SSL/TLS que sustentan las páginas web, especialmente para transacciones monetarias y cuando se atraviesan redes no fiables.

De hecho, se calcula que RC4 es empleado en el 50% de todo el tráfico TLS actual.

El problema radica en que RC4 no es lo suficientemente aleatorio, lo que significa que un atacante con la suficiente paciencia y pericia podría recuperar datos “a partir de defectos estadísticos en el flujo de clave generada por el algoritmo RC4, que se manifiestan en los textos cifrados TLS cuando el mismo texto plano es cifrado en repetidas ocasiones en una ubicación fija a través de muchas sesiones TLS“, según explican los autores del hallazgo y recoge InformationWeek.

Aunque el peligro real e inmediato al que se enfrentan los usuarios no es tan alto, debido a lo complicado del ataque, ya hay quien advierte que los ciberdelincuentes podrían estar desarrollando nuevos patrones para explotar esta vulnerabilidad.

Por eso, se recomienda dejar de usar RC4 en TLS, sustituyéndolo por otras medidas como AES-GCM.