Esta semana ha habido dos relevantes incidentes de seguridad en Internet, a saber:
Por un lado tenemos el caso de Cloudflare, un proveedor del servicios de Internet entre ellos los de alojamiento de contenidos (CDN), servidores de nombres dominios (DNS) y seguridad, reconoció un incidente debido a un bug que dejaba expuesta información sensible de sus clientes: contraseñas, datos personales, información de algún sitio de dating… un poco de todo dado que cuentan con 5,5 millones de clientes.
¿Qué hacer al respecto? Los usuarios potencialmente afectados, porque los sitios web que habitualmente visitan puedan haber sido comprometidos, ya están recibiendo correos para que actualicen sus contraseñas «por si acaso». A hacerlo con precaución, como siempre.
Más info: Exposed Cloudflare parser bug leaked sensitive customer information for months (The Tech Portal).
§
Por otro está el caso del algoritmo SHA‑1, una función hash criptográfica cuya seguridad se estaba intentando vulnerar desde hacía tiempo y que finalmente ha sido «rota». Este tipo de funciones generan una especie de «resumen» de un documento (en el caso de SHA‑1, 20 bytes) y están diseñadas de tal modo que es prácticamente imposible que dos conjuntos de datos de entrada generen la misma salida o resumen.
El caso es que unos investigadores de Google han conseguido encontrar una «colisión», lo cual tiene profundas implicaciones. Por ejemplo debido a cómo se construyen los populares documentos PDF firmados digitalmente ahora se pueden falsificar – y seguirá pareciendo que tienen una firma válida.
¿Qué hacer al respecto? Muchas compañías han ido dejando de usar SHA‑1 en los últimos años, pasando a usar SHA‑256, que es mucho más seguro. Para quien su trabajo dependa de temas de alta seguridad (o incluso de que los PDF firmados digitalmente sean válidos o no), mejor comprobar que todas sus aplicaciones se actualizan adecuadamente en las próximas semanas. Y en caso de duda, preguntar a los expertos.
Más info: The first collision for full SHA‑1 [PDF], Announcing the first SHA1 collision (Google Blog) y At death’s door for years, widely used SHA1 function is now dead (Ars Technica).
