Investigadores encuentran vulnerabilidad en el cifrado XML que hace peligrar Internet

Dos investigadores de la Universidad Ruhr en Bochum, Alemania han realizado una demostración práctica en Chicago de un ataque al mecanismo de cifrado XML, método ampliamente utilizado por la industria de Internet.

La técnica empleada es capaz de descifrar los mensajes “encriptados” con cualquiera de los algoritmos soportados por el estándar de cifrado XML, incluidos los populares AES y DES.

Se trata de un hallazgo que podría obligar a los afectados a utilizar otro estándar alternativo a XML (eXtensible Markup Language), puesto en marcha en 2002 por el Consorcio W3 y diseñado para almacenar y transportar datos a través de Internet.

El método envía a los servidores texto cifrado que se ha modificado previamente. El servidor, al detectar dicha modificación, devuelve mensajes de error con información que les permite recopilar determinados datos para poder descifrar posteriormente los contenidos en XML. “Se trata de un fallo del que no parece haber una solución sencilla”, ha indicado uno de los investigadores, Juraj Somorovsky. “Lo que proponemos es que se cambie a otro estándar lo más pronto posible”, ha concluido tras la demostración.

El problema es mayor de lo que parece, ya que este tipo de cifrado de la información se utiliza en multitud de aplicaciones web como comunicaciones corporativas, comercio electrónico, servicios financieros, salud, infraestructura militar y servicios públicos a través de Internet.

El equipo de investigación ya ha avisado a compañías como Amazon.com, IBM, Microsoft o Red Hat, cuyos marcos de trabajo están afectados por este agujero de seguridad en el cifrado XML.

Cambiar de estándar supondrá que todos esos desarrollos deban ser actualizados, ya que no existirá compatibilidad hacia atrás.