Google Chrome no protege contra webs vulnerables a Heartbleed

Escrito por Rubén Velasco
Seguridad
0

Heartbleed es una de las vulnerabilidades más graves de los últimos tiempos. Esta vulnerabilidad afectaba a todos los servidores relativamente modernos que utilizaran las últimas versiones de OpenSSL y que podía permitir que un pirata informático solicitara información “no autorizada” a un servidor obteniendo así claves privadas, contraseñas y todo tipo de información en general.

Con el descubrimiento de la vulnerabilidad Heartbleed, Google ha estado trabajando en un módulo de seguridad que detectara páginas web vulnerables por este fallo de seguridad y que utilizara certificados falsos. Sin embargo, según parece este nuevo módulo de seguridad para Google Chrome no funciona como se esperaba y los resultados que se obtienen de este dejan bastante que desear.

Según un informe, el navegador de Google, Google Chrome, no detecta el 98% de los certificados digitales potencialmente peligrosos y vulnerables ante Heartbleed. El culpable de que este módulo no funcione correctamente es CRLSet, una lista creada y mantenida por Google en la que se enumeran las páginas web maliciosas y vulnerables detectadas y que serán las que se bloqueen por defecto en el navegador web.

Expertos de seguridad afirman que esta lista perjudica el rendimiento general de internet debido a que si se incluyen en ella las páginas web con certificados digitales caducados y afectados por esta vulnerabilidad se producirá una sobrecarga innecesaria en la red. De igual manera, esta lista únicamente lista el 2% de los certificados digitales revocados debido a esta vulnerabilidad, lo que significa que esta nueva medida de protección es totalmente inútil.

chrome_espionaje_foto

Por el momento habrá que esperar a ver qué ocurre con esta nueva medida de seguridad. Es probable que los desarrolladores cambien el punto de enfoque de esta debido a las críticas que está recibiendo. Es posible que en vez de una lista de sitios web simplemente se genere un robot que se encargue por sí solo, y con permiso de los administradores de los sitios, se encargue automáticamente de esta función. Por el momento debemos prestar especial atención para evitar entrar en una web vulnerable a Heartbleed y comprometer así nuestra seguridad.

¿Crees que la iniciativa de Google para proteger a los usuarios de esta vulnerabilidad será efectiva?

Fuente: Ars Technica


Noticias relacionadas