Economía/ Seguridad informática

Cubamatinal/ Un poderoso y nuevo tipo de ataque en la internet funciona como una interceptación telefónica, pero opera entre las computadoras y los sitios web en los que confían los usuarios.

Por Jordan Robertson 

Las vegas, 2 de agosto/ AP/ Ciberpiratas en las conferencias de seguridad informática Black Hat y DefCon han revelado una falla grave en la forma en que los navegadores de internet eliminan los sitios poco fiables e impiden que cualquiera los vea.

Si un delincuente se infiltra en una red, puede instalar un programa nocivo que se apodere de números de tarjetas de crédito, contraseñas y demás información delicada que fluye entre computadoras de esa red y sitios que sus navegadores han considerado seguros.

En un plan incluso más peligroso, un atacante podría hacerse de la función de actualización automática en la computadora de una víctima y “engañarla” para que instale software nocivo obtenido del sitio web de un “hacker”. La computadora interpretará que se trata de una actualización suministrada por un fabricante confiable de software.

El ataque fue demostrado por tres “hackers”. El investigador independiente en seguridad Moxie Marlinspike hizo una presentación por su cuenta, mientras que hubo una conferencia conjunta de Dan Kaminsky, quien labora para la consultoría en seguridad IOActive Inc., con sede en Seattle y de Len Sassaman, investigador privado.

Todos llegaron esencialmente a la misma conclusión: Hay graves problemas en la forma en que los navegadores interactúan con los certificados Secure Sockets Layer (SSL), una tecnología utilizada comúnmente en sitios de bancos, comercio electrónico y otros que manejan datos delicados.

Los programadores de los navegadores y las empresas que venden certificados SSL trabajan en una reparación.

Microsoft Corp., cuyo navegador Internet Explorer es el más popular del mundo, informó que investiga el asunto.

Mozilla Corp., autora del Firefox, informó que la mayoría de los problemas abordados se reparó en la versión más reciente de su navegador y el resto será corregido en una próxima actualización.

Tim Callan, ejecutivo de marketing del producto, añadió que “la interceptación no funciona contra los certificados SSL de Validación Extendida.El ataque clasifica como una interrupción por “intermediario”, en las que un delincuente se ubica entre la computadora de la víctima y un sitio legítimo y roba los datos.