Ciberpiratas: Sitios "seguros" de internet aún son vulnerables

Por JORDAN ROBERTSON © 2009 The Associated Press
Un poderoso y nuevo tipo de ataque en la internet funciona como una interceptación telefónica, pero opera entre las computadoras y los sitios web en los que confían los usuarios.

Ciberpiratas en las conferencias de seguridad informática Black Hat y DefCon han revelado una falla grave en la forma en que los navegadores de internet eliminan los sitios poco fiables e impiden que cualquiera los vea.

Si un delincuente se infiltra en una red, puede instalar un programa nocivo que se apodere de números de tarjeta de crédito, contraseñas y demás información delicada que fluye entre computadoras de esa red y sitios que sus navegadores han considerado seguros.

En un plan incluso más peligroso, un atacante podría hacerse de la función de actualización automática en la computadora de una víctima y "engañarla" para que instale software nocivo obtenido del sitio web de un "hacker". La computadora interpretará que se trata de una actualización suministrada por un fabricante confiable de software.

El ataque fue demostrado por tres "hackers". El investigador independiente en seguridad Moxie Marlinspike hizo una presentación por su cuenta, mientras que hubo una conferencia conjunta de Dan Kaminsky, quien labora para la consultoría en seguridad IOActive Inc., con sede en Seattle y de Len Sassaman, investigador privado.

Todos llegaron esencialmente a la misma conclusión: Hay graves problemas en la forma en que los navegadores interactúan con los certificados Secure Sockets Layer (SSL), una tecnología utilizada comúnmente en sitios de bancos, comercio electrónico y otros que manejan datos delicados.

Los programadores de los navegadores y las empresas que venden certificados SSL trabajan en una reparación.

Microsoft Corp., cuyo navegador Internet Explorer es el más popular del mundo, informó que investiga el asunto. Mozilla Corp., autora del Firefox, que ocupa el segundo lugar, informó que la mayoría de los problemas abordados se reparó en la versión más reciente de su navegador y el resto será corregido en una actualización durante la próxima semana.

VeriSign Inc., una de las mayores empresas de certificados SSL, sostiene que sus ofertas no son vulnerables.

Tim Callan, ejecutivo de "marketing" de producto en la unidad de negocios SSL de VeriSign, añadió que "la interceptación no funciona contra los certificados SSL de Validación Extendida, que cuestan más e involucran una inspección más profunda de la solicitud de certificado de una compañía.

El ataque cae en la clasificación de irrupciones por "intermediario", en las que un delincuente se coloca en medio de la computadora de una víctima y de un sitio web legítimo y roba los datos que se mueven entre una y otro.