Hacker, Google Plus.
En Idiso, la seguridad de los datos de nuestros clientes es una prioridad, consecuencia de ello son los 4 certificados PCI-DSS consecutivos que lo avalan. Una de las principales tareas relacionadas con la seguridad es estar atento a las debilidades que van surgiendo, analizarlas y reaccionar ante ellas. Una vulnerabilidad reciente que ha aparecido es Poodle.
La vulnerabilidad afecta al protocolo Secure Sockets Layer Version 3 (SSLv3), que es el que se encarga de cifrar la comunicación entre servidores y clientes (navegadores web).
Los avispados hackers utilizan un ataque denominado Man in the middle, que consiste en interceptar la comunicación entre servidor y cliente para descifrar parte de la información. Principalmente, podrían tener acceso a los datos almacenados en las cookies, donde se almacenan las sesiones que abrimos cuando nos conectamos a las redes sociales o cuando consultamos la página web del banco etc.
El resultado es dramático y lo peor de todo es que los usuarios no somos conscientes de que nos han arrebatado datos importantes. Esta vulnerabilidad no tiene solución directa, ya que se trata de un problema de diseño del protocolo que además es obsoleto, debido a que es un protocolo del año 1996. De todas maneras, que no cunda el pánico. Hay alternativas que mitigan este problema.
La mejor opción consiste en deshabilitar el protocolo SSLv3 y solamente permitir protocolos más robustos como Transport Layer Security (TLS). Por una parte, los responsables de páginas web deberían deshabilitar el protocolo en sus servidores. Por otra parte, nosotros como usuarios finales, también podemos deshabilitar este protocolo en nuestros navegadores.
En MS Internet Explorer, podemos seguir las recomendaciones de Microsoft. Para ello, tenemos que acceder al menú Herramientas, Opciones de Internet, clicar en la pestaña Opciones Avanzadas y ahí desactivar el protocolo, dejando una configuración similar a la de la imagen:
Configuración Internet Explorer
Google también planea descartar SSL en su navegador Chrome en los próximos meses. Mozilla informa que en la próxima versión de Firefox, el protocolo SSL no estará soportado. Entretanto, una opción fácil y cómoda consiste en instalar la extensión SSL Version Control 0.3 desde la que es muy fácil deshabilitar SSL.
Es evidente que nos encontramos ante un problema grave de vulnerabilidad tanto en la forma-imperceptible para los usuarios- como en el fondo: sustracción de información personal en la red. Por esta razón, es crucial tomar las medidas necesarias para evitar exponer este tipo de información.