Por qué no es una buena idea reutilizar contraseñas (el caso HSBC)

Hace pocos días uno de los bancos más grandes el mundo, HSBC, confirmó que algunos de sus clientes en los Estados Unidos fueron víctimas de un ataque conocido como credential stuffing. Este tipo de ataque utiliza nombres de usuario y…

Conectando Internet mediante Puntos de Intercambio

Tiempo atrás les hablaba de BGP, el protocolo de intercambio de rutas de interconexión entre proveedores de Internet. Hoy vamos a hablar de los IXP (Internet Exchange Points) o Puntos de Intercambio, que cumplen un papel central en la transferencia de datos de Internet.…

BGP, uno de los pilares de Internet

Internet es una gran red de redes interconectadas entre sí que funciona gracias a tres pilares fundamentales: los cables de fibra óptica, el protocolo BGP y el protocolo DNS. Los cables de fibra óptica submarinos son su pilar principal. A través…

Llegó la hora de reemplazar los certificados SSL con cifrado SHA-1

Han pasado casi 20 años (19 para ser precisos) desde que se publicara la versión 1 de SHA, el algoritmo de cifrado más utilizado en el mundo y con el que operan la gran parte de los certificados SSL de la web.

SHA-1 es un método de cifrado desarrollado por la Agencia Nacional de Seguridad de los Estados Unidos (NSA, por sus siglas en inglés) y es considerado un estándar federal en el procesamiento de la información para el gobierno de aquel país. El método de salida de SHA-1 produce un valor de hash seguro de 160 bits (20 bytes), equivalente a un número hexadecimal de 40 dígitos de longitud.

En el año 2005 fueron publicadas dos investigaciones en las que se demostraron grandes debilidades en este mecanismo. Sucede que los hashes tienen un enemigo natural llamado “colisiones”. Las colisiones son la posibilidad de encontrar mediante ataques de fuerza bruta un identificador que no sea único, es decir, que un mismo SHA-1 represente a dos flujos de datos entrantes diferentes.

Por definición podríamos decir que existe 1 posibilidad en 1208925819614629174706176 (280) de generar colisiones en SHA-1. Sin embargo, a principios de 2005 un grupo de investigadores chinos redujo la cantidad de intentos a 269. Tiempo más tarde se avanzó hasta 263 y, finalmente, en la Universidad de Macquarie (Australia) lograron reducirlo hasta 252 (cerca de 2000 veces más rápido de lo esperado).

Como consecuencia de esto, el CA/Browser Forum recomendó en el año 2011 comenzar a abandonar SHA-1 tan pronto como sea posible. De hecho, el gobierno de los Estados Unidos dejó de utilizar este mecanismo en el 2010.

Acerca de SHA-2

A una década del error del milenio

Queridos lectores,

Muchos de ustedes sabrán a que me refiero, otros quizá recién ahora escuchen nombrar el Efecto año 2000, Y2K o Error del milenio, entre tantos otros nombres que ha recibido este bug.

Adentrándonos en la historia, meses antes de comenzado el año 1999 se descubrió un bug o error de programación que afectaría a todos los equipos informáticos del mundo. Inmediatamente se generó una alarma social inmensa, que en pocas horas recorrió el mundo entero.

Este error de programación sacó a la luz una importante falla en cuanto a los sistemas informáticos y aplicaciones ejecutables en ellos. Hasta ese momento, los sistemas almacenaban internamente las fechas con lo últimos dos dígitos del año; tal es así, que el año 1999 era interpretado como 99. Esto tendría como consecuencia principal que después del 31 de diciembre de 1999, sería el 1 de enero de 1900 en vez de 1 de enero de 2000.

Por qué sucedería esto? Pues bien, si para los sistemas informáticos, 1999 era interpretado como 99, el año 2000 sería interpretado como 00, es decir, 1900. Otras herramientas, que permitían contar tres dígitos, tomarían la continuidad del 99 como 100, es decir, el año 19100.

Acciones a tener en cuenta