Un fallo peor de lo temido
El agujero en el sistema de DNS descubierto hace meses era más peligroso de lo que parecía en un primer momento
Hace unos meses, un especialista en seguridad informática detectó de forma accidental, según sus propias declaraciones, un gravísimo fallo en uno de los pilares básicos que sustentan la Red, el Domain Name System (DNS), cuya función es traducir al lenguaje natural los números que componen las direcciones de Internet.
El especialista, Dan Kaminsky, ha hablado en público por primera vez tras detectarse y solucionarse el problema para avisarnos de que fue mucho más grave de lo que se previó en un primer momento y de que no todas las empresas han hecho los deberes para solucionarlo.
Kaminsky ha participado estos días en una convención de especialistas de seguridad en Las Vegas, la Black Hat. Durante su exposición, según informa la página web de la BBC, Kaminsky declaró que las soluciones implementadas por las compañías se centraron en los navegadores (Explorer, Firefox, Safari,...), pero el fallo pudo haber sido aprovechado por hackers por muchas vías distintas: "Cualquier red está en peligro".
De hecho, según sus propios cálculos, el 15% de las 500 compañías que componen la lista Forbes de las más importantes no ha hecho nada para solucionar el problema.
Lo que Kaminsky descubrió de forma accidental fue un agujero de seguridad que permitía a ciberdelincuentes secuestrar los servidores donde se guardan las DNS (algo así como unas páginas blancas de Internet) y redirigir a los internautas a páginas web distintas a las insertadas en la barra de navegación. El santo grial de un ataque de phishing, porque la persona no accede a la página a través de un enlace, sino tecleando en su navegador la dirección él mismo.
Según el experto, el camino abierto por el agujero permitía a los hackers atacar servicios de FTP, servidores de correo electrónico, filtros antispam e incluso los sistemas Secure Socket Layer (SSL), cuya misión es, precisamente, hacer más seguras las transanciones en Internet a través del banco, por ejemplo.
Excesiva publicidad
No todo el mundo tiene la misma visión. VeriSign, un gigante de Silicon Valley que expide la mayoría de los certificados SSL, no cree que se tratara de un asunto tan importante; todo lo contrario, según ellos recibió una atención mediática excesiva y equivocada que no reflejó una cuestión fundamental: el internauta es el mayor peligro para la seguridad en Internet.
Una de las jefas de seguridad de la compañía, Ken Silva, declara a BBC que VeriSign se había previsto con anterioridad un fallo como el que descubrió Kaminsky, por lo que ya estaba preparada para atacarlo. Entre sus trabajos, VeriSign mantiene las máquinas que contienen la lista maestra de dominios .com y .net.
Lo que realmente preocupa a Silva es que la gente haya leído demasiados titulares oscuros acerca del fallo de seguridad. "La realidad es que ha habido múltiples maneras para dirigir al lugar equivocado a los internautas, y esta es una más".
Según Silva, el principal agujero de seguridad se encuentra "entre el teclado y el respaldo de la silla".
