Hoy, nos hemos enterado de que los expertos han identificado un nuevo método de ataque contra los protocolos Transport Layer Security (TLS) y Datagram TLS (DTLS). El ataque, llamado Lucky 13, puede ayudar a los ciberdelincuentes a obtener acceso a información confidencial transmitida por las organizaciones y los usuarios regulares.
Según Ryan Hurst, director de tecnología de GlobalSign, el protocolo SSL no está roto. Sin embargo, a pesar de que lleva un nuevo nombre (TLS), todavía cabe destacar que tiene casi 20 años.
"A diferencia de otros ataques recientes, como BEAST, Lucky Thirteen requiere una corrección para el servidor. Esto significa que para obtener una protección completa y eficaz contra este ataque es necesario actualizar y parchear todos los servidores web”, explicó Hurst.
"Dicho esto, es posible mitigar el ataque mediante la eliminación de las suites de cifrado CBC, ya que el ataque es contra el uso de CBC por parte de SSL/TLS".
El experto cree que las organizaciones no deben asustarse en absoluto si respetan las mejores prácticas de la industria al implementar SSL.
Por otro lado, Jeff Hudson – el director ejecutivo de Venafi, proveedor de soluciones de gestión de certificados y claves empresariales (EKCM) – destaca el hecho de que estamos presenciando una tendencia de nuevos ataques que socavan la capacidad de las empresas de controlar el trust.
"Para prepararse y estar en condiciones de defenderse de un ataque Lucky 13 o cualquier otro ataque contra el trust, las organizaciones tienen que determinar dónde están usando cifrado y certificados digitales", dijo Hudson a Softpedia.
"En este caso, casi todos los protocolos seguros de HTTP a SMTP y LDAP se basan en TLS o SSL para proteger los datos y autenticar máquinas y personas. El ataque Lucky 13 es especialmente preocupante porque los atacantes pueden utilizarlo para obtener conocimientos sobre otros datos confidenciales como los IDs de usuario y las contraseñas que se intercambian en las etapas tempranas de comunicaciones”, añadió.
"No sabrás cómo protegerte y cómo actuar a menos que sepas donde estás utilizando cifrado y autenticación basada en certificados digitales dentro de tu centro de datos, clientes y en la nube".
El experto cree que los ciberdelincuentes son conscientes del hecho de que muchas organizaciones dependen de la seguridad proporcionada por protocolos como TLS y certificados digitales, y no dudarán en aprovechar estas debilidades.
Hudson destaca que es fundamental que las empresas y los gobiernos identifiquen dónde se están utilizando certificados digitales y cifrado con el fin de gestionarlos de forma eficiente.
"No puedes controlar el trust hasta que sepas donde existen brechas de seguridad. Sólo saber de la existencia de una vulnerabilidad "técnica" no es suficiente, la única manera en que las organizaciones pueden reducir el riesgo de un ataque exitoso de Lucky 13 es saber dónde y cómo están usando sus activos de seguridad más valiosos – las claves de cifrado y los certificados digitales. "
FUENTE :http://news.softpedia.es/Los-expertos-explican-los-riesgos-planteados-por-el-ataque-Lucky-13-326882.html