Por... íLVARO HERNíNDEZ
El año ha comenzado con un terremoto en la red. La jubilación de un algoritmo de cifrado ha dejado fuera de innumerables servicios a millones de usuarios que aún tienen dispositivos antiguos
Nació en 1993 y ya le ha llegado la hora de retirarse. Su nombre es SHA-1 y se trata de un algoritmo que, en principio, no te sonará de nada, como a la mayoría de usuarios. Sin embargo, su jubilación cambiará completamente la red hasta el punto de crear una especie de efecto 2016 que dejará a millones de internautas sin acceso a los servicios más populares.
Hasta ahora, SHA-1 había sido el algoritmo de referencia para hacer que la navegación web fuera segura. Su función no ha sido otra que generar, "a partir de unos datos de entrada, un código que sirve de identificador único para verificar la integridad de esos datos", tal y como explica Raúl Siles, fundador y analista de Dinosec.
A SHA-1 le ha llegado la hora de la jubilación. El 1 de enero de 2016 dejará desprotegidos a millones de internautas con navegadores antiguos
Tras más de veinte años, SHA-1 ha dejado de ser seguro. Usarlo para cifrar nuestros datos en los sitios web con htpps puede poner en peligro a los usuarios. "Como ocurre con todos los mecanismos de cifrado, al aumentar la potencia de cálculo, cada vez es relativamente más sencillo para alguien calcular ese código sin tener los datos de entrada y generar un certificado que se haga pasar por otro", explica el experto en ciberseguridad.
Así, las grandes compañías comenzaron a anunciar que la vida del algoritmo iba a llegar a su fin. Microsoft señaló el 1 de enero de 2016 como el primer día de una nueva era en la que el encargado de cifrar los sitios web sería otro algoritmo más robusto.
Dejando de lado a millones de internautas
En principio, con la medida salimos ganando todos: se abandona un sistema de seguridad obsoleto y nuestros datos pueden volver a viajar por la red sin que nos preocupemos. Sin embargo, abandonar SHA-1 supone que unos 40 millones de usuarios dejen de tener acceso a algunos de los servicios más populares del mundo, según un estudio realizado por Facebook y CloudFlare.
Las grandes compañías ya han acordado poner en marcha algoritmos más robustos. (Yuri Samoilov)
"Afecta principalmente a gente que estíé usando navegadores web antiguos o, si hablamos de dispositivos móviles, a los que tengan dispositivos móviles viejos, que probablemente solo pueden instalar un navegador web primitivo", afirma Siles.
Mozilla adelantó la llegada de SHA-2 y el efecto no se hizo esperar, ya que se produjo un descenso más que significativo de las descargas a travíés de Firefox.
La solución no parece sencilla. Por una parte, se podría seguir utilizando el algoritmo para que nadie se quedara fuera, pero internet seguiría siendo un lugar inseguro. La opción que, por ahora, parecen haber adoptado los gigantes de la red pasa por adaptarse al siguiente nivel de seguridad y, con ello, dejar de lado a los usuarios con máquinas más desfasadas.
Los usuarios con navegadores antiguos son los principales afectados. (Drregor)
Siles recuerda que la situación actual es un juego de equilibrios: "Siempre tenemos mecanismos de seguridad muy avanzados que podríamos aplicar, pero tenemos que jugar con la compatibilidad hacia atrás, es decir, todavía tenemos tecnologías que son más antiguas pero que se están usando".
La revolución de Facebook
Mientras Mozilla y Microsoft ya han dado el paso, Google ha anunciado sus planes: si bien la firma de Mountain View tambiíén había previsto el final de SHA-1 para el 1 de enero de 2017, finalmente ha cambiado de parecer y Chrome abandonará el algoritmo en julio de este año.
Sin embargo, no todas las grandes compañías de internet han inclinado la balanza en favor de una red más segura que discrimine a millones de personas. Facebook aboga por buscar una solución más justa. "No creemos que sea correcto dejar a decenas de millones de personas fuera de los beneficios de la internet cifrada", explicaba el director de seguridad de la red social, Alex Stamos, a travíés del blog de la compañía.
Facebook no cree que sea correcto dejar a decenas de millones de personas fuera de los beneficios de la internet cifrada
La propia Facebook ha desarrollado un mecanismo que permite que los certificados cambien en función de la antigí¼edad del navegador: "Si tu cliente es moderno, sólo te deja conectarte con los mecanismos más modernos y seguros; si no queda más remedio porque tienes un cliente más antiguo, te deja conectarte aunque de una forma más insegura", resume el fundador de Dinosec.
Aunque Facebook ha puesto todo de su parte, dejando el código de este sistema a disposición de cualquiera, desarrollador o empresa, SHA-1 se ha jubilado en buena parte de la red aprovechando las doce campanadas. Con ello, millones de internautas se quedan descolgados de internet. A pesar de todo, ¡feliz año!
