Cuando se navega en internet, las direcciones de las páginas web pueden empezar por «http» o por «https». La ese que se añade es para señalar que la página es segura y la incluyen las web que permiten pagos y, en general, la que piden datos personales por la razón que sea. Son conexiones seguras a través de las cuales el usuario puede intercambiar datos con seguridad de que nadie tenga acceso a ellos.
Ahora se ha descubierto que quizá no sean tan seguras. Los bancos, las web de tiendas o todos los servicios de Google y redes sociales como Facebook, usan un protocolo de seguridad que no es seguro.
Según el profesor de seguridad de la información de la Universidad de Londres, Kenneth G. Paterson, un atacante, siempre que tenga conocimientos suficientes y mucha paciencia, podría interceptar las comunicaciones de millones de personas en el mundo. Las grandes empresas tecnológicas se ha puesto a solucionar el problema sin más dilación.
El profesor ha descubierto, con la ayuda de uno de sus estudiantes, Nadhem AlFardan, debilidades en el protocolo de seguridad más usado para proteger las comunicaciones por internet, llamado Transport Layer Security (TLS, seguridad de la capa de transporte). Es un sistema que sustituyó al SSL (capa de conexión segura). Es ese sistema de seguridad que, si está funcionando, muestra un icono de pequeño candado cerrado en la barra de direcciones del navegador. Ese candado virtual puede ser abierto. Ups.
Conexión cifrada
El sistema funciona, como lo hacen la mayoría de métodos de seguridad en informática, porque el emisor y el receptor (el usuario y el servidor del banco, por ejemplo) comparten un algoritmo de cifrado y unas claves. De este modo, el emisor cifra el contenido (lo manda en clave), mientras que el receptor descifra el mensaje porque conoce cómo hacerlo.
Pero ese mensaje pasa por programas de cifrado, como OpenSSL, GnuTLS, PolarSSL o CyaSSL. Cualquiera que interceptara la comunicación no vería un mensaje con sentido, sólo una amalgama de datos que no podría comprender.
Sin embargo, según los expertos británicos, el TLS tiene un fallo en su diseño: no depende de la implementación que cada software o empresa haga de él, lo que permite capturar la información de forma legible para los humanos. La variante DTLS es la más insegura, han asegurado.
Microsoft, Apple, Opera, Oracle, Cisco, Google y otras grandes empresas tecnológicas han desarrollado programas de cifrado basados en TLS/DTLS. Todas trabajan para solucionar el agujero en su seguridad.