Desde hace ya tiempo, el hash criptográfico SHA-1 lleva siendo considerado como inseguro y, en teoría, vulnerable frente a distintos ataques informáticos. Sin embargo, todo era teoría, hasta hace dos semanas, cuando Google finalmente consiguió demostrar la primera colisión de hash SHA-1 y demostrando en la práctica los peligros de utilizar este algoritmo.

Algunos expertos de seguridad comparan el uso de algoritmos inseguros con Heartbleed, el fallo de OpenSSL que puso en peligro a millones de servidores conectados a Internet y que, a pesar de haber pasado 5 años desde el descubrimiento del fallo, aún hay más de 200.000 servicios conectados a Internet vulnerables ante este fallo.

SHA-1 cada vez es menos utilizado, aunque su uso aún es preocupante

  • Tal como hemos dicho, a día de hoy aún el 21% de las páginas web utilizan este certificado a pesar de los peligros de hacerlo. Sin embargo, su uso sí se ha reducido notablemente frente a noviembre de 2016, donde más del 35% de las webs totales lo utilizaban aún. Aunque poco a poco el número de webs que utilizan SHA-1 es menor, muchas empresas que dependen de un gran número de certificados se están encontrando con muchos problemas tanto técnicos como económicos, posponiendo la actualización de estos certificados cada vez más.
  • Por suerte, las grandes compañías de Internet como Microsoft, Google y Mozilla ya han puesto los días contados a las webs que aún sigan utilizando estos algoritmos, y es que, desde febrero de este mismo año, estas páginas no serán de confianza para los navegadores, quienes mostrarán avisos de advertencia al intentar visitar una página web de estas, e incluso se bloquearán por completo a partir de mediados de este mismo año.
  • Utilizar aún este algoritmo, tanto en las conexiones seguras como a nivel interno, es muy peligroso. Además de los peligros que supone para la seguridad (ya que, por ejemplo, es posible que un archivo haya sido modificado con malware, pero su hash sha-1 no haya sido modificado, infectándonos), muchas plataformas, tal como le ha ocurrido a Subversion, pueden dejar de funcionar si comparan la integridad de los archivos con este hash.
  • Es de vital importancia dar el salto a nuevos algoritmos realmente seguros. Si queremos seguir utilizando algoritmos SHA, es recomendable actualizar a una revisión de SHA-1 como, por ejemplo, SHA-2 o SHA-3, algoritmos que, a día de hoy, son totalmente seguros, tanto en la teoría como, sobre todo, en la práctica.

Fuente: Venafi

Anuncios