Una historia sobre los mecanismos de autenticación de Google, Yahoo, Microsoft…

La historia que cuentan en ZDNet dice que un día Zachary Harris, matemático de profesión, recibió un correo electrónico del departamento de reclutamiento de Google. No tardó en darse cuenta de que la clave del mecanismo DKIM (DomainKeys Identified Mail), utilizada para autentificar el envío de mensajes, era muy poco segura.

Lo primero que pensó Harris, viniendo de donde venía el mensaje, es que se trataba de una prueba. 1.024 bits de extensión no son suficientes para asegurar una clave DKIM, y así se lo hizo saber a Google en un nuevo mensaje enviado nada menos que a Larry Page y Sergey Brin, después de conseguir vulnerar la clave original.

Harris no obtuvo respuesta, pero lo que sí pudo comprobar poco después fue que Google había comenzado a usar claves de 2.048 bits.

Y todo quedaría en anécdota si el matemático no hubiese denunciado también a, entre otras, eBay, Twitter o PayPal, compañías que incumplen las recomendaciones de seguridad con este tipo de claves.

De hecho, el US-CERT (United States Computer Emergency Readiness Team), organismo oficial encargado en temas como la seguridad informática, ha entrado en escena para aconsejar a los pesos pesados del correo electrónico, Google, Yahoo y Microsoft, que revisen las claves RSA de sus servidores y que reemplacen las que tengan una extensión menor de 1.024 bits.