FREAK la nueva vulnerabilidad que le quita el sueño a Google y Apple

Casi a diario vemos como aparece una nueva vulnerabilidad que pone en riesgo nuestros datos y nuestra información personal, de estas vulnerabilidades no se salva ninguno de nuestros dispositivos.  Nuestros smartphones, tablets, laptops, computadoras de escritorio y hasta los wearables se ven amenazados todos los días por brechas de seguridad nuevas y ya existentes.

La última en este caso es FREAK, una vulnerabilidad relativamente nueva y que pondría en serio riesgo la información personal de los usuarios de Android y iOS que tengan como navegador predeterminado Google Chrome o Safari.  Dato muy llamativo partiendo de la idea de que son los navegadores más populares entre los usuarios de estos sistemas operativos.

¿Qué deberíamos saber sobre FREAK?

FREAK o Factoring Attacks on RSA-Export Keys por sus siglas en ingles, tiene su origen en la década de los 90 cuando investigadores, desarrolladores y autoridades trataban de llegar a un consenso sobre una medida que le brindase un grado de seguridad adecuado a las personas.  Mientras los investigadores y desarrolladores proponían medidas robustas de seguridad las autoridades se negaban, ya que, estas significaban un obstáculo durante los procesos de investigación judiciales.

De esta forma, se llegó a un acuerdo y se estableció un cifrado de 512 bits.  Un nivel de seguridad que le permitía a la justicia interceptar comunicaciones y obtener datos de estas, pero que por ende no le daba toda la protección necesaria al usuario.

Con el paso del tiempo este cifrado fue variando entre niveles más altos y más bajos de seguridad, siendo el más fuerte actualmente el de 1024 bits, utilizado por ejemplo en transacciones bancarias de gran importancia.  Pero mientras todo esto pasaba, los efectos de los 512 se fueron regando y generando lo que hoy se acaba de conocer como FREAK.

Como en un principio los 512 bits de cifrado eran un «estándar», la mayoría de los softwares, páginas webs y en este caso navegadores de Internet adoptaron este valor y fueron programados bajo esta premisa, aún cuando se sabía que dejaba una brecha de seguridad abierta y que podía ser vulnerada en cuestión de horas.

¿Cómo nos afecta a nosotros los usuarios?

Conscientes o no vivimos rodeados de FREAK, esto significa que cualquier persona con el conocimiento necesario -actualmente no hace falta tanto- puede interceptar nuestras comunicaciones y ver los datos y la información que está siendo intercambiada, sin que nosotros ni siquiera sospechemos que esto está ocurriendo.  Esta técnica de hacking se llama «Man in the Middle».
Man in The Middle
En términos menos técnicos lo que esto quiere decir, es que si por ejemplo estamos en una página de compras un hacker podría estar utilizando esta vulnerabilidad para ver toda la información que estamos enviando y recibiendo en ese momento, de esta forma podría tener acceso a nuestro número de tarjeta de crédito, número de cuenta bancaria, dirección, etc.

Mientas estemos en nuestra casas y conectados a nuestra red local estamos un poco más protegidos, pero cuando el verdadero caos se desata y cuando FREAK entra en completa acción es cuando nos conectamos a cualquier red pública, es decir, a una red WiFi de aeropuertos, hoteles, restaurantes, etc.

Esta vulnerabilidad nos deja en un punto donde poco podemos hacer, ya que, en este caso el estar seguros no depende completamente de nosotros.  No es como en otros casos donde por ejemplo, se recomienda descargar aplicaciones desde las tiendas oficiales, o no utilizar contraseñas con formato «12345».

Adicionalmente, la lista de páginas webs afectadas es sumamente extensa por lo que no podemos saber a ciencia cierta cuando estamos en un entorno seguro y cuando no.  De entre la lista de webs afectadas por FREAK encontramos desde casos tan cercanos como pueden ser el Banco Santander, Groupon y la cadena de Hoteles Marriot, hasta casos bastante inverosímiles (aunque ya han puesto en marcha las medidas correctivas necesarias) como pueden ser la página web del FBI o la NSA.

Quizás lo más polémico de todo este asunto, es que FREAK no se debe a un error humano sin intención, sino que es una vulnerabilidad que se ha introducido a propósito gracias a la necesidad, con o sin fundamentos, que tienen los gobiernos de vigilar todas y cada una de nuestras acciones.

Por ahora Apple y Google se encuentran trabajando en una solución a este problema, que esperemos que llegue en las próximas semanas, mientras tanto tendremos que tomar las medidas de precaución necesarias para minimizar el riesgo de convertirnos en una víctima de FREAK.

¿Qué opinas de que los gobiernos pongan en riesgo nuestra información de esta forma?. ¡Deja tu opinión en los comentarios!.

Imagen por defecto
Jose Antonio Alvarado

Ing. de Sistemas, adicto a la tecnología y gamer que no ha dejado nunca de lado la música y los deportes.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.