Menú principal

sábado, 20 de julio de 2013

Vulnerabilidad en Cryptocat deja descifrar conversaciones

Crytocat logo
Hace relativamente poco se ha encontrado una vulnerabilidad en el programa Cryptocat, una aplicación web de código abierto destinada a permitir chatear en línea de forma cifrada y segura. Cryptocat cifra las conversaciones (chats) en el lado del cliente, confiando sólo en el servidor para enviar los datos ya cifrados.  Cryptocat se ofrece como una aplicación para Mac OS X y como una extensión de explorador para Google Chrome, Mozilla Firefox y Apple Safari

Este tipo de herramientas que proporcionan más privacidad en la red, se ha puesto aún más de moda por escándalos como el por ejemplo a programas como el reciente PRISM).

Pero, ¿realmente nos proporciona esa privacidad? Recientemente se ha encontrado un grave fallo en la seguridad de Criptocat, que ha ocasionado que se planteen serias dudas en cuanto a lo que promete esta herramienta. La vulnerabilidad fue encontrada por Steve Thomas quien señalo un fallo en la forma en la que se generaban los pares de contraseñas para el grupo de chats. Este bug afectaba a las versiones comprendidas entre la 2.0 y la 2.0.42 (esta última no incluida), lo que hacia que el sistema fuera más fácil de romper mediante fuerza bruta.

Figura 1: Anuncio de la vulnerabilidad crítica de Cryptocat

Algo que hay que mencionar fue la rápida actuación por parte de los creadores de Crypotcat para arreglar este fallo seguridad, que se encontraba en las librerías de cifrado. Debido al nuevo parche introducido en esta nueva versión, los usuarios no podrán hablar con los usuarios de versiones anteriores (debido a cambios en la contraseña genera) por lo que todos deberán actualizar a la nueva versión lo antes posible, por seguridad y por funcionalidad.

Si solo lo usas para chatear con una persona que tiene la misma versión vulnerable que tú, debes ponerte en contacto con ella para actualizar ambos la herramienta.

Finalmente recordar que aunque hay muchos servicios que no proporcionan sistemas para navegar de forma segura y con mucha más privacidad, no quiere decir que estemos totalmente a salvo para siempre y por tanto hay que tomar más medidas para mantener la seguridad global del sistema. Actualizar es una de ellas. Si quieres saber más sobre el cifrado aplicado, te recomendamos la lectura del libro de Jorge Ramió y Alfonso Muñoz "Criptografía: de la cifra clásica a RSA".

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares