Cometimos muchos errores en la década de los 90, como los colores estridentes en la ropa, el acceso a Internet por módem, las reposiciones de Los Vigilantes de la Playa, y FREAK, un gran fallo de seguridad en HTTPS.

En aquella época el gobierno estadounidense empezó a darse cuenta de que el próximo campo de batalla sería en la red; algún genio se dio cuenta de que si las compañías creaban productos demasiado seguros las fuerzas del país no podrían descifrarlos, así que se estableció una prohibición a la exportación de “cifrado fuerte”.

El resultado es que muchos programas tenían dos versiones, una con algoritmos potentes de cifrado para el mercado de EEUU y otra sin ellos para el resto del mundo, aunque al final la mayoría de desarrolladores sólo crearon la versión insegura.

FREAK es un monstruo que vuelve del pasado

freak 1

Aunque esa prohibición se perdió a finales de la década, ya había hecho mucho daño. El uso de cifrado inseguro ya había quedado como el estándar del mercado y aunque en los años siguientes ha mejorado mucho en ese sentido, por razones de compatibilidad muchos navegadores y servidores actuales siguen aceptando métodos inseguros para comunicarse.

El resultado es una nueva vulnerabilidad descubierta ayer relacionada con las comunicaciones cifradas SSL/TLS, llamada FREAK, que permite a un atacante interceptar comunicaciones HTTPS en lo que se conoce como un ataque “man-in-the-middle”.

freak 2

Una buena cantidad de dispositivos se han visto afectados, y lo peor es que muchos de ellos nunca se actualizarán, especialmente si tienen Android. Afortunadamente algunos navegadores como Firefox ya han arreglado esta vulnerabilidad.

Puedes probar si tu sistema es inseguro accediendo a esta página creada por los descubridores del bug:

Cómo saber si tu navegador es inseguro por la vulnerabilidad FREAK