(CNNMoney) – Hace tiempo, la ley estadounidense requería de una versión débil de encriptado web para poder intervenir cuando quisiera. Ahora, esto se ha vuelto en su contra en la forma de un terrible error informático.
Unos investigadores descubrieron una falla –llamada el error FREAK- que puede permitir a un hacker espiar una sesión de Internet y robar la información de inicio.
Este error afecta a varios sitios supuestamente seguros, desde Symantec.com a NSA.gov. El navegador Safari de Apple y algunos browsers de Android son vulnerables. (Google Chrome, Mozilla Firefox y Microsoft Internet Explorer no son vulnerables)
Apple dijo a CNNMoney que planea tener una solución para los usuarios de iPhone y Mac la próxima semana con una actualización de software. Google no respondió de inmediato a los pedidos de comentario.
Kickstarter, WePay, y otros sitios que contienen botones de ‘me gusta’ de Facebook también son vulnerables a esto, dijeron los investigadores.
El problema, explicado
Escondido en lo más profundo del código de algunos navegadores web y sitios, hay una version débil de encriptado que puede violarse fácilmente. La única razón por la que existe es por malas políticas estadounidenses que han sido abolidas desde entonces.
En los 90, el gobierno federal restringió la exportación de encripción poderosa de información. Las empresas informáticas tuvieron que usar dos versiones de encriptado: fuerte y débil. Sin embargo, la encripción débil se mantuvo mucho más de lo necesario.
El error informático fue detectado el año pasado por investigadores de seguridad académica del instituto de ciencias informáticas francés, INRIA. Ellos han ayudado silenciosamente a Apple y otros a arreglar este problema desde Noviembre. Lo llamaron el error FREAK, por las siglas de “Factoring Related Attack on RSA Keys.” (Ataque relacionado a la factorización de claves de encriptación)
Akamai, una empresa que proveé hosting a sitios web con un nivel extra de protección, hizo público el error el pasado martes. La empresa dijo que está corriendo para resolver el problema.
Bill Brenner, experto en seguridad de Akamai, menciona que la encriptación vieja es tan mala que cualquiera podría explotarla con 100 dólares y un par de horas.
El científico Karthikeyan Bhargavan, quien dirigió el equipo que descubrió el error FREAK, mencionó que no hay motivo para que siga existiendo esta seguridad débil.
“¿Por qué está todavía ahí? Sólo dios sabe”, dijo. “Las características sólo crecen en los productos de software. La gente agrega más características y no se toman la molestia de limpiar las viejas”.
Podemos considerar este como el primer error informático destacado del 2015, aunque no es tan nefasto como los errores Heartbleed o Shellshock del año pasado.