DROWN, una vulnerabilidad que afecta a 1 de cada 3 webs seguras

Habitualmente, tendemos a considerar los sitios web a los que se accede tecleando HTTPS: como páginas de seguridad garantizada. Sin embargo, una nueva vulnerabilidad en OpenSSL, conocida como DROWN, lo pone en cuestión.

DROWN, dada a conocer hoy, afecta a servidores que utilizan SSLv2 y abriría la puerta a ataques que podrían descifrar las comunicaciones seguras HTTPS, tales como introducción de contraseñas o números de tarjetas de crédito. SSLv2 data de la década de 1990 y con frecuencia está activado por accidente o de forma automática cuando se crea un nuevo servidor. Esa es la razón por la que DROWN es un problema importante.

En este caso, permite a los atacantes descifrar HTTPS mediante el envío de paquetes especialmente diseñados a un servidor o, si el certificado es compartida en otro servidor, realizar un ataque man-in-the-middle. Según TNW, más del 33% de los servidores son vulnerables, una cifra significativamente menor que la de la renombrada Heartbleed, pero aun así demasiado alta.

Entre los sitios web vulnerables a causa de este agujero están los de Yahoo!, Alibaba, Weibo, BuzzFeed, Weather.com, Flickr y Samsung.

La vulnerabilidad fue revelada hoy como parte de una actualización de OpenSSL y ya está disponible un parche, pero para defenderse de posibles explotaciones, debe asegurarse de que SSLv2 está desactivado o de que la clave privada no se comparte a través de cualquier otro servidor. Los sitios vulnerables no tienen que volver a emitir los certificados, pero deberían tomar medidas para prevenir un ataque de inmediato.

Juan Miguel Revilla

Recent Posts

Los ingresos anuales recurrentes de IFS crecen un 30%

La compañía ha registrado durante el tercer trimestre incrementos del 20 % en ingresos por…

10 horas ago

Fujitsu lanza una IA que piensa de forma autónoma y colabora con humanos

Fujitsu Kozuchi AI Agent se ofrecerá a través de la plataforma Fujitsu Data Intelligence PaaS.

11 horas ago

Los dispositivos TOUGHBOOK se certifican con Red Hat Enterprise Linux

De momento han sido certificados los modelos TOUGHBOOK 55mk3 y TOUGHBOOK 33mk4.

12 horas ago

Carmen Boronat, nueva CEO de la consultora Cloud District

El objetivo de esta compañía, especializada en productos digitales, es ayudar a las organizaciones combinando…

12 horas ago

Appian elige a Estefanía Vázquez como vicepresidenta de servicios financieros para Iberia y Latinoamérica

Entre sus cometidos están supervisar la implementación de proyectos y el desarrollo de iniciativas de…

13 horas ago

Los españoles están dispuestos a pagar más en Black Friday y Navidad para ayudar al pequeño comercio

Así lo afirma un 71 % de los consumidores encuestados por GoDaddy. Hasta una cuarta…

14 horas ago