Google descubre vulnerabilidad en cifrado de sitios de internet

La falla, conocida como Poodle, permite que "el texto plano (cifrado de datos) de conexiones seguras sea calculado por un atacante de la red", informó la compañía en un comunicado.
Google tuvo una conducta poco ética, de acuerdo aun especialista.
Archivo. (Shutterstock)

Google descubrió una vulnerabilidad en el diseño de SSL versión 3.0. Este problema "permite que el texto plano (cifrado de datos) de conexiones seguras sea calculado por un atacante de la red".

La falla Poodle (Padding Oracle On Downgraded Legacy Encryption) fue encontrada por Bodo Möller, Thai Duong y Krzysztof Kotowicz del equipo de seguridad de Google. 

Esta no es la primera vez que SSL (Secure Sockets Layer, protocolo de seguridad que utilizan en Internet para el cifrado y la seguridad) tiene problemas. A principios de este año, se encontró la falla OpenSSL conocida como Heartbleed que permitió a hackers acceder a la información de usuarios como Facebook, Instagram, Gmail, entre otros. (Lee aquí la lista completa)

La nueva vulnerabilidad ya fue reemplazada en el navegador Chrome por TLS 1.0, TLS 1.1 y TLS 1.2, pero aún es motivo de preocupación porque la mayoría de las implementaciones modernas TLS son todavía compatibles con Open SSL 3.0, anunció la compañía en su blog de seguridad.

La desactivación de SSL 3.0 es apoyo suficiente para mitigar el problema, pero la compañía recomienda usar el soporte para TLS_FALLBACK_SCSV, lo que impide que la conexión servidor-cliente utilice un protocolo criptográfico de menor seguridad.

En los próximos meses, Google eliminará el soporte para SSL 3.0 por completo de todos sus productos.