La batalla por eliminar las vulnerabilidades de seguridad en Internet parece no tener fin y el caso del nuevo ataque DROWN (hecho público el 1 de marzo) que se une a los recientes Heartbleed y Poodle es una buena prueba de ello.

En los últimos días varios expertos en seguridad de distintas universidades e institutos de investigación han dado la voz de alarma sobre una nueva vulnerabilidad que puede estar afectando al 33% de los servidores que usan el protocolo HTTPS. Esta nueva amenaza podría suponer que alrededor de 11.5 millones de servidores HTTPS quedasen expuestos en todo el mundo además de otros servicios que usen los sistemas de cifrado SSL y TLS.

Estos protocolos permiten a los usuarios navegar por Internet, usar el email, realizar compras online y usar aplicaciones de chat sin el riesgo de que terceras partes puedan leer sus comunicaciones ya que están cifradas. Sin embargo, en nuevo ataque DROWN permite a los cyber-criminales romper el cifrado y acceder a la información de un modo legible, esto implica que pueden interceptar datos como contraseñas, números de tarjetas de crédito, información confidencial de empresa o datos financieros.

Desde el punto de vista del usuario no hay nada que se pueda hacer a parte de evitar páginas web sospechosas. Los únicos que realmente pueden tomar medidas para que este tipo de amenaza son los administradores de los servidores y el personal encargado de sistemas informáticos dentro de una organización. Estos responsables deben pasar a la acción con rapidez porque el ataque ya se ha cobrado víctimas tan poderosas como Yahoo, Buzzfeed o Alibaba (al final enlazamos con una lista de sitios que se han visto comprometidos por el ataque).

¿Cómo funciona el ataque DROWN?

DROWN es un acrónimo de Decrypting RSA with Obsolete and Weakened eNcryption. Este complicado nombre describe de manera esquemática la forma de trabajar de esta vulnerabilidad ya que en ella se explota el hecho de que los servidores que usan el protocolo de cifrado TLS tienen que dejar una serie de puertas abiertas para dar soporte a un protocolo obsoleto llamado SSLv2. Si el servidor permite conexiones SSLv2 significa que es vulnerable al ataque DROWN.

El soporte que se ofrece a protocolos obsoletos es la causa de esta vulnerabilidad.

¿Qué medidas podemos tomar?

La primera es desactivar el soporte SSLv2 y asegurarse de que las llaves de cifrado no están siendo usadas en ningún servicio que permita conexiones SSLv2. Para ello es necesario revisar todas las aplicaciones que usen SSL o TLS, incluyendo los servidores web y de correo.

Expertos en seguridad han elaborado una página con una detallada descripción del ataque DROWN y de los pasos a dar para hacerle frente. Aquí lo enlazamos.

https://drownattack.com/

Y aquí la lista de grandes webs que han sido atacadas

https://drownattack.com/top-sites.html