Twitter

Investigadores de Google han anunciado que han encontrado un fallo de seguridad en el protocolo SSL 3.0, que puede ser usado por hackers para interceptar datos que supuestamente tendrían que ir cifrados, y al que han bautizado con el nombre de POODLE (Padding Oracle On Downgraded Legacy Encryption).

Según la empresa de Mountain View, la versión afectada de SSL tiene quince años, aunque todavía es muy usado en servidores HTTPS y todos los navegadores web lo soportan. Cuando en los navegadores fallan en la conexión vuelven a intentarlo con protocolos más viejos, incluyendo SSL 3.0, instante que pueden aprovechar los hackers para explotar el bug e interceptar datos.
Google recomienda desactivar el soporte de SSL 3.0 o el cifrado CBC con SSL 3.0, movimiento que debería mitigar el error, aunque esto puede presentar problemas de compatibilidad, así que también recomienda usar TLS_FALLBACK_SCSV, que previene la utilización de protocolos inferiores a TLS 1.2 en las conexiones, evitando así el uso del problemático SSL 3.0.
POODLE puede ser fácilmente esquivado. En la Universidad de Michigan detallan cómo hacerlo en los navegadores Google Chrome y Internet Explorer y en los servidores Apache y NGINX, mientras que Mozilla ha anunciado que desactivará el soporte para SSL 3.0 en a partir de Firefox 34, que será liberado el 25 de noviembre, neutralizando el bug.
El gigante de las búsquedas también ha comentado que está corrigiendo el fallo en sus servidores para evitar problemas.