Se descubre otro error grave en OpenSSL

Se descubre otro error grave en OpenSSL

Aún así, no es otro Heartbleed.

El bug Heartbleed no era lo último que le podía pasar a OpenSSL. De hecho, se acaba de descubrir un nuevo y peligroso bug, aunque potencialmente no tiene el alcance del aparecido hace un par de meses.

Explican en The Guardian que la nueva vulnerabilidad fue desenterrada por el investigador Tatsuya Hayashi y permite desencriptar datos sensibles de cualquier otro usuario dentro de una misma red. Obviamente, al hablar de datos sensibles se habla de contraseñas, números de tarjeta de crédito, información personal, y similares.

Por su naturaleza, efectivamente se trata de un problema grave. Aún así, expertos creen que nunca lo será tanto como Heartbleed solo por el hecho de limitar las acciones a una sola red; sin embargo, las redes públicas donde muchos usuarios convergen (bibliotecas o cafeterías, por ejemplo) están expuestas al llamado “Man in the Middle” (Hombre del medio).

“En situaciones de redes Wi-Fi públicas, los atacantes podrían ‘espiar’ fácilmente y falsificar o encriptar las comunicaciones”, explicó el descubridor del problema.

En cualquier caso, para que se pueda efectuar el “traspaso” de datos es obligación que ambas partes tengan la versión vulnerable de OpenSSL. Con uno solo que actualice, la vulnerabilidad se hace no explotable. Menos mal.

Como dato curioso, se indicó que este problema existe en OpenSSL desde 1998 (16 años) y jamás nadie lo había visto hasta ahora. Lo bueno de todo: no será otro Heartbleed.