DROWN, una vulnerabilidad que afecta a 1 de cada 3 webs seguras

Habitualmente, tendemos a considerar los sitios web a los que se accede tecleando HTTPS: como páginas de seguridad garantizada. Sin embargo, una nueva vulnerabilidad en OpenSSL, conocida como DROWN, lo pone en cuestión.

DROWN, dada a conocer hoy, afecta a servidores que utilizan SSLv2 y abriría la puerta a ataques que podrían descifrar las comunicaciones seguras HTTPS, tales como introducción de contraseñas o números de tarjetas de crédito. SSLv2 data de la década de 1990 y con frecuencia está activado por accidente o de forma automática cuando se crea un nuevo servidor. Esa es la razón por la que DROWN es un problema importante.

En este caso, permite a los atacantes descifrar HTTPS mediante el envío de paquetes especialmente diseñados a un servidor o, si el certificado es compartida en otro servidor, realizar un ataque man-in-the-middle. Según TNW, más del 33% de los servidores son vulnerables, una cifra significativamente menor que la de la renombrada Heartbleed, pero aun así demasiado alta.

Entre los sitios web vulnerables a causa de este agujero están los de Yahoo!, Alibaba, Weibo, BuzzFeed, Weather.com, Flickr y Samsung.

La vulnerabilidad fue revelada hoy como parte de una actualización de OpenSSL y ya está disponible un parche, pero para defenderse de posibles explotaciones, debe asegurarse de que SSLv2 está desactivado o de que la clave privada no se comparte a través de cualquier otro servidor. Los sitios vulnerables no tienen que volver a emitir los certificados, pero deberían tomar medidas para prevenir un ataque de inmediato.

Juan Miguel Revilla

Recent Posts

Bitdefender lanza un programa de garantía contra violaciones de seguridad

Ofrece hasta 1 millón de dólares de compensación económica en caso de incidente, con la…

4 horas ago

Cloud Expo evoluciona a Cloud & AI Infrastructure

Este cambio refleja los avances que se producen a nivel de infraestructura TI y el…

5 horas ago

DES2025 se centrará en la IA y ofrecerá una zona de experiencia tecnológica

El evento espera reunir a 17.000 directivos, que podrán escuchar a medio centenar expertos en…

5 horas ago

Snowflake llega a un acuerdo con Datavolo para su adquisición

Como resultado de esta operación, ampliará sus servicios en el "bronze layer" del ciclo de…

6 horas ago

NetApp aumenta un 6 % sus ingresos trimestrales

Durante el segundo trimestre de su año fiscal 2025 acumuló 1.660 millones de dólares, la…

7 horas ago

Denodo Platorm 9.1 estrena asistente de inteligencia artificial

También incluye un SDK open source para potencia el desarrollo de aplicaciones y agentes, especialmente…

7 horas ago