Google descubre vulnerabilidad en SSL 3.0

Especialistas en seguridad de Google han encontrado una vulnerabilidad bautizada como poodle en el protocolo de cifrado SSL 3.0 que proporciona comunicaciones seguras por redes como Internet.

La versión afectada de SSL tiene quince años, es muy usada en servidores HTTPS y todos los navegadores web lo soportan. Aunque su sucesor (TLS) es mucho más seguro, cuando los navegadores fallan en la conexión vuelven a intentarlo con protocolos más viejos, incluyendo SSL 3.0.

Ese es el momento en que los piratas informáticos pueden aprovechar la vulnerabilidad e interceptar datos. Por ello, Google recomienda desactivar el soporte de SSL 3.0 o el cifrado CBC con SSL 3.0, movimiento que debería mitigar el error, aunque esto puede presentar problemas de compatibilidad, así que también recomienda usar TLS_FALLBACK_SCSV, que previene la utilización de protocolos inferiores a TLS 1.2 en las conexiones, evitando así el uso del problemático SSL 3.0.

Desde la Universidad de Michigan detallan cómo esquivar Poodle en  los navegadores Google Chrome y Internet Explorer y en los servidores Apache y NGINX. Mozilla ha anunciado que desactivará el soporte para SSL 3.0 a partir de Firefox 34, que será liberado el 25 de noviembre y Google ha comentado que está corrigiendo el fallo en sus servidores.

Aún  así, medios especializados como Hispasec analizan el caso y comentan que Poodle es «el último clavo en el ataúd de SSL» y aconsejan «ir cortando amarras» con este protocolo y usar definitivamente TLS.