Actualidad

Las claves de correo de Yahoo, Google y Microsoft son vulnerables

Yahoo, Google y Microsoft han puesto remedio a una debilidad criptográfica de sus sistemas de correo electrónico que podía permitir crear mensajes falsos que superaran los controles de seguridad matemática o encriptación.

Esta debilidad afectaría a DKIM o DomainKeys Identified Mail, un sistema de seguridad empleado por los principales remitentes de correo electrónico. DKIM incluye una firma criptográfica que permite a un correo  verificar el nombre de dominio a través del cual el mensaje es enviado. De esta forma, se consigue diferenciar más fácilmente los mensajes falsos de los legítimos.

El problema tiene que ver con las claves de firma que son inferiores a 1.024 bits, y que pueden ser replicadas fácilmente, gracias a la creciente potencia informática de ordenadores y sistemas.

El CERT en Estados Unidos aseguró el pasado martes en un comunicado que las claves de firma de menos de 1.024 bits son débiles y que las inferiores a RSA-768 bits pueden ser manipuladas.

El asunto salió a la luz después de que el matemático de Florida, Zachary Harris, enviara un correo desde un recurso de Google que utiliza una clave de tan solo 512 bit, según informe publicado en Wired. Para probar la debilidad de su sistema, Harris vulneró la clave y la utilizó para enviar un mensaje simulado de Sergey Brin a Larry Page, ambos fundadores de Google.

No fue solo una prueba, sino que creó un serio problema a la compañía, ya que demostró que podía pasar un email falso y hacer creer que era seguro. Según el estándar DKIM, los mensajes de email que tienen claves más cortas que 1.024 bits no son necesariamente rechazados por los sistemas, lo que facilitó la prueba de Harris.

Este experto descubrió además que el problema no se limitaba a Google, sino también a Microsoft y Yahoo, aunque ellos parecía que habían atajado el problema unos días antes, según el CERT. Harris aseguró a Wired que encontró claves en uso de entre 512 y 768 bit en PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, USBank, HP, Match.com y HSBC.

Las claves débiles son una gran oportunidad para los ciber-criminales. Con ellas, pueden atacar selectivamente a la gente con mails que contengan enlaces falsos y vulnerar el software de su ordenador o instalar virus, un estilo de ataque conocido como “pesca con arpón”.



Revista Digital

Revistas Digitales

DealerWorld Digital

 



Otros Contenidos

juniper Fabricantes
Registro:

Eventos: