DROWN: hay 11 millones de webs en peligro, ¿puede estar la tuya entre ellas?

29 marzo 2016

2 min read

Un nuevo ataque sobre el modo en que los datos fluyen por Internet podría dejar expuestos a 11 millones de servidores red. Esto es lo que necesita saber y lo que puede hacer para evitarlo.   

DROWN: hay 11 millones de webs en peligro, ¿puede estar la tuya entre ellas? (Desktop)

Las brechas en la seguridad no son nada nuevo. Desde Ashley Madison a TalkTalk y otros, son muchos los rufianes que exponen millones de datos sensibles. Aunque es posible que lo peor esté por llegar. Un nuevo ataque sobre el modo en que los datos fluyen por Internet amenaza con exponer una tercera parte de los servidores web seguros, de acuerdo con las investigaciones de los descubridores del fallo.

Su descubrimiento incluye una larga lista de conocidos portales ya expuestos. Otros afirman que hasta 11 millones de máquinas podrían verse afectadas por el ataque. Conocido como DROWN (de "Decrypting RSA with Obsolete and Weakened eNcryption"), algunos lo han anunciado como la segunda venida del gusano Heartbleed que hace dos años se infiltró en decenas de miles de servidores e instituciones principales, incluida la oficina tributaria nacional del Canadá y los archivos de datos de uno de los principales proveedores de información sanitaria de los EE.UU.

DROWNing (Ahogamiento) en un mal cifrado

En pocas palabras, DROWN es lo que se conoce como "ataque de protocolo cruzado" que aprovecha la seguridad débil de un estándar de los 90 como es el SSL v2 para exponer las sesiones protegidas por una alternativa moderna conocida como Transport Layer Security, o TLS.

Las claves son la piedra angular de un ataque DROWN. En concreto, es frecuente que los administradores de TI configuren los servidores seguros con la misma clave privada de RSA para descifrar la información enviada por una red, aún cuando un protocolo (SSL v2) es materialmente más débil que otro. Imagínese que usara la misma llave para abrir las puertas frontal ytrasera de su casa.

Cuál es el siguiente paso

Si hay buenas noticias sobre esto es que los investigadores afirman que no liberarán el código para el ataque DROWN hasta que se actualicen más servidores (puede comprobar aquí si está expuesto).

Mientras, el grupo OpenSSL, responsable de una enorme cantidad de librerías de software seguro utilizadas en servidores web, incluido quizá también el suyo, ha publicado una actualización dirigida no solamente a DROWN, sino también a errores relacionados que han generado ataques de menor nivel pero también dañinos. Cachebleed, por ejemplo, es un error que explota SSLv2 para permitir a los atacantes interceptar su información en los servidores y las sesiones de cifrado. Actualizar a SSLv3 es un primer e inteligente paso para abordar DROWN y Cachebleed, tanto si usa OpenSSL, Microsoft Windows Server, Network Security Services, Apache u otro formato de servidor web en la infraestructura de su sitio.

También debería hacer inventario de toda su red y deshabilitar SSLv2 si existe, comenta Jan Schaumann, un experto en seguridad de la información, profesor adjunto de informática en el Instituto de Tecnología Stevens. Un mayor cuidado cuando vuelva a utilizar sus certificados de seguridad también es clave, dado que los atacantes se aprovechan de las políticas perezosas.

Un retorno de la inversión aterrador

Con DROWN, en particular, los investigadores fueron capaces de infiltrarse en algunos sitios en menos de un minuto utilizando un ordenador con una sola CPU. Otras brechas necesitaron un gasto de unos 440 dólares para incorporar la ayuda de una nube Amazon EC2. En cualquiera de los casos, los atacantes que tengan por objetivo los servidores adecuados podrían obtener un retorno significativo de la inversión. "Siempre existirán serias vulnerabilidades", afirma Schaumann. "Solo que cuando aparecen en un software tan extendido y esencial para el funcionamiento de la red y de la economía que depende él, el impacto crece exponencialmente".

Imprimir