Inicio / Blog / Vulnerabilidades de protocolos criptográficos en dominios españoles

Vulnerabilidades de protocolos criptográficos en dominios españoles

Publicado el 28/04/2015, por Santiago González (INCIBE)
Vulnerabilidades de protocolos criptográficos en dominios españoles

Continuando con la tendencia iniciada durante el año 2014, se siguen publicando con relativa frecuencia nuevas vulnerabilidades asociadas al protocolo SSL/TLS, utilizado de forma habitual como mecanismo para garantizar la confidencialidad de las comunicaciones en Internet.

Una de las últimas vulnerabilidades que se ha dado a conocer a principios del pasado mes de marzo es la denominada "FREAK" (Factoring attack on RSA-EXPORT Keys):

 

 

 

 

FREAK

La vulnerabilidad FREAK aprovecha ciertas deficiencias en clientes y servidores vulnerables, que permiten a un atacante que intercepte las comunicaciones forzar a que éstas se realicen utilizando un cifrado más débil que el establecido inicialmente. Este algoritmo criptográfico más débil puede ser descifrado, dando acceso así a la información transmitida.

Es importante destacar que, en este caso, para llevar a cabo el ataque es necesario que se den las siguientes condiciones:

  • Identificar un cliente vulnerable.
  • Identificar un servidor web vulnerable.
  • Efectuar un ataque de tipo Man-In-The-Middle entre cliente y servidor.

Aunque se den las condiciones anteriores, todavía es necesario romper la clave de cifrado débil (lo cual puede llevar incluso semanas, en función de los recursos hardware de los que disponga el atacante), y el acceso a la información sólo se mantendrá mientras el servidor no genere una nueva, por lo que, en la práctica, el impacto de esta vulnerabilidad es más o menos limitado.

En lo que se refiere a los clientes, la mayoría de fabricantes de navegadores web han facilitado actualizaciones que solucionan esta vulnerabilidad. Es posible verificar si un navegador es vulnerable accediendo a distintos recursos disponibles en la web, como por ejemplo:

En cuanto a los servidores, para conocer el impacto potencial en los dominios españoles es interesante conocer el grado de exposición de las páginas web de dominios .es a esta vulnerabilidad, así como actualizar los datos de las otras vulnerabilidades relacionadas con SSL que fueron publicados en el blog de INCIBE a final del año pasado.

Grado de exposición de webs de dominios españoles

Los datos globales de exposición de webs de dominios .es a alguna de las vulnerabilidades analizadas se mantienen prácticamente iguales:

A pesar de observarse un ligero incremento en el porcentaje de webs que utilizan SSL, el porcentaje de webs afectadas por alguna de las cuatro vulnerabilidades analizadas (Heartbleed, Poodle, WinShock y FREAK) se mantiene más o menos estable.

Aunque en términos globales el porcentaje de webs afectadas ya era bajo, se observa incluso una leve reducción en este sentido a pesar de la inclusión de FREAK, que como puede observarse a continuación tiene una presencia muy reducida:

Comparativamente, tanto Heartbleed como WinShock han disminuido su proporción de apariciones (-0,087% y -0,11%, respectivamente), mientras que Poodle ha aumentado significativamente (+0,090%), aunque hay que tener en cuenta que partía de un valor muy bajo. La presencia de FREAK es residual, teniendo el índice más bajo de las cuatro vulnerabilidades a pesar de ser la de fecha de publicación más reciente (únicamente afectadas un 0,026%).

Conclusiones

El índice de afectación en España para estas vulnerabilidades sigue siendo bajo (menos de un 2%), percibiéndose una leve disminución en algunas vulnerabilidades ya conocidas y sorprendentemente un aumento en el caso de Poodle (inherente a SSL 3.0).

Las carencias de SSL junto con la tendencia global hacia el cifrado de las comunicaciones hacen probable que sigan publicándose nuevas vulnerabilidades asociadas a estos algoritmos criptográficos. Por esto, es previsible que la industria utilice cada vez más protocolos más seguros como TLS, ya que SSL 3.0 no cumple los requisitos mínimos de seguridad.

Como siempre,el CERT de Seguridad e Industria operado por INCIBE recomienda mantener actualizados los productos y aplicar buenas prácticas en la configuración de los sistemas, para evitar verse afectados por estas vulnerabilidades y otras que puedan aparecer en el futuro.