«Freak», El Nuevo Fallo De Seguridad Que Ha Puesto En Jaque a Apple y Google

La nueva vulnerabilidad informática afecta a Safari y Android. El error proviene del débil cifrado creado en virtud de la presión del gobierno de Estados Unidos para asegurar que la NSA era capaz de decodificar las comunicaciones extranjeras

Miles de sitios web han sido comprometidos por unf allo informático fruto de los débiles estándares de encriptación implementados en la década de los noventa para permitir que la agencia de inteligencia estadounidense NSA pudiera espiar las comunicaciones extranjeras.

El fallo, que ha sido bautizado con el nombre de «freak», podría hacer que estos sitios fuesen especialmente vulnerables -entre los que se incluyen sites administradas por el FBI y la NSA- a ataques dehackers, por lo que el problema debe ser resulto de inmediato. Al parecer, los defectos se encuentran en los protocolos criptográficos TLS y en su antecesor, el SSL.

El fallo de seguridad proviene de un «número de códigos de baja complejidad creados en virtud de la presión del gobierno de EE.UU.para asegurar que la NSA era capaz de decodificar todas las comunicaciones extranjeras», tal y como han explicado los investigadores, quienes insisten en que este defecto viene de los bajos estándares de encriptación (cifrado de 512 bits) impuestos por el gobierno de Estados Unidos a los fabricantes de software para la exportación, quienes debían utilizar un sistema muy débil de seguridad en los programas de cifrado que se vendían en el extranjero por motivos de seguridad nacional. El objetivo, aseguran, era seguir teniendo acceso a estos programas cuando fuesen vendidos a países hostiles.

«El tema es importante en sí mismo, pero es sobre todo un buen ejemplo de lo que puede suceder cuando un gobierno establece normas demasiado débiles para los sistemas de seguridad», ha dicho Ed Felten, profesor de ciencias informáticas en la Universidad Princeton.

La infracción fue descubierta por equipos Karthikeyan Bhargavaz, en Francia, en el National Computer y el Instituto de Investigación de Automatización (INRIA), y Matthew Green en los Estados Unidos, un criptógrafo de la Universidad Johns Hopkins, en Maryland.

Safari y Android, afectados

La vulnerabilidad «es una importante lección sobre las consecuencias que puede conducir a la encriptación decisiones políticas», aseguran los descubridores de este nuevo fallo.

Los dispositivos de Apple y Google se han visto afectados por lavulerabilidad «freak». Los navegadores Safari y otros web deAndroid son vulnerables. Google Chrome, Firefox y Microsoft Internet Explorer no se han visto afectados. Ambas compañías han asegurado ya que van a actualizar sus sitemas para arreglar la falla.

«Freak» recoge así el testigo de «Heartbleed», el error de software que hace casi un año fue descubierto por un grupo de investigadores que trabajan en Google y en la empresa de software de seguridad Codenomicon. Fue el anterior gran «bug» que puso en jaque a toda la comunidad internaicional, pues podía «capturar» y desencriptar desde nombres de usuario hasta contraseñas.

«Aunque la vulnerabilidad afecta a un número significativo de grandes sitios web de todo el mundo, el riesgo para los usuarios, tanto particulares como empresas, de que sus datos sean interceptados por un hacker a través de ella es mínimo, ya que implicaría un enorme esfuerzo hacerlo», ha declarado Mario García, director general de Check Point para España y Portugal.

«Dado que la brecha afecta al navegador Safari en iPhones, iPads y Macs, así como al navegador integrado en Android, pero no a Google Chrome, ni a las últimas versiones de Internet Explorer o Firefox, los usuarios simplemente tienen que cambiar a un navegador que no esté afectado para eliminar cualquier riesgo derivado de esta vulnerabilidad».

Los Empleados De Facebook Pueden Entrar a Tu Cuenta Sin La Contraseña

El equipo de la red social Facebook explica, tras una polémica, las normas que tienen sobre la gestión de perfiles

No es un secreto. Ciertos empleados de grandes corporaciones de internet no necesitan la contraseña de un usuario para acceder a su cuenta. Es una forma de simplificar algunas labores, por ejemplo, cuando un usuario reporta un problema en su perfil y se comunica con los empleados a través de los servicios de ayuda de la plataforma. Sin embargo, a finales de febrero la experiencia personal de un ejecutivo de un sello discográfico hizo saltar las alarmas, aunque Facebook ya ha explicado la situación.

Paavo Siljamäki, director del sello Anjunabeats, publicó un mensaje en Facebook señalando que había visitado las oficinas de la red social en Los Ángeles, y que un empleado, le había preguntado si no tenía problema en que revisaran su perfil. Él accedió, pero le sorprendió que este empleado pudiese entrar a su perfil personal sin que él proporcionara el nombre de usuario y contraseña.

Este trabajador de la red social podía tener acceso a su contenido privado. «Esto me hizo preguntar cuánto personal de Facebook tiene esta especie de clave maestra a las cuentas de todos. ¿Cuáles son las reglas sobre quién y cuándo ellos pueden acceder a nuestro contenido privado y cómo sabemos si alguien lo ha hecho? Mi Facebook no me notificó que alguien había entrado a mi perfil privado», escribió Siljamäki.

Saltaron las alarmas, pero Facebook, a través de un comunicado enviado a Venture Beatha tratado de zanjar la polémica. La empresa ha explicado que hay una cierta cantidad de trabajadores de Facebook cuyas responsabilidades laborales requieren que usen herramientas que tiene esta «clave maestra» y son advertidos desde el momento que son contratados. Cualquier abuso de dicha herramienta puede llevar a que ese empleado pierda su trabajo.[Consejos para mejorar la seguridad de tu perfil en Facebook]

«Tenemos rigurosos controles administrativos, físicos y técnicos que se encargan de restringir el acceso de empleados a los datos de usuario. Los controles han sido evaluados por terceras partes independientes y confirmados varias veces por la oficina de la irlandesa de protección de datos como parte de su auditoría de nuestras prácticas. El acceso está interconectado y limitado por función de trabajo, y los empleados designados sólopodrán acceder a la cantidad de información que sea necesaria para llevar a cabo sus responsabilidades de trabajo, tales como responder a informes o consultas de apoyo cuenta», ha señalado un portavoz de la empresa Venture Beat.

Y añade: «Existen dos sistemas separados diseñados para detectar patrones sospechosos de conducta, y estos sistemas producen informes una vez por semana que son revisados por dos equipos independientes de seguridad.Tenemos un enfoque de cero tolerancia al abuso y los comportamientos incorrectos deriva en despido». [Cómo crear una buena contraseña de seguridad]

Post de Paavo Siljamäki