Por squirrel

En ocasiones, protocolos teóricamente seguros se ven comprometidos por decisiones poco apropiadas durante el proceso de implementación, resultando por una parte en vulnerabilidades imprevistas y por otra en que la seguridad del sistema se vea reducida al desconocimiento de dichas vulnerabilidades, es decir a la seguridad mediante la oscuridad.

Eso es exactamente lo que ha ocurrido en estos dos casos. Por una parte, tenemos que la implementación del protocolo Chip and Pin en algunos terminales es altamente deficiente, dando lugar a que uno de los pilares de su seguridad, el UN -Unpredictable Number- sea predecible y por tanto permita realizar transacciones incluso sin la presencia física de la tarjeta. Por otra, la combinación de cifrado y compresión en algunas implementaciones del protocolo TLS hace que mediante scripts maliciosos sea posible extraer información de los flujos de datos cifrados, llegando a poder obtener las cookies de sesión de otros destinos web y por tanto poder apoderarse de dicha sesión.

Si bien en el caso de TLS parece que la solución obvia para mitigar el ataque (desactivar la compresión dentro de las conexiones cifradas) ya ha sido implementada por los principales fabricantes de navegadores, el caso de las tarjetas es más preocupante, primero porque se sospecha que la información sobre la vulnerabilidad era conocida -y utilizada- en el mundillo delictivo desde hace tiempo y segundo porque tanto las propias empresas de tarjetas como los bancos que las emplean, aun conociendo de primera mano la existencia del problema, han estado dando la imagen de que el sistema era seguro y cualquier problema que surgiera era responsabilidad de los clientes -y denegando por tanto cualquier clase de protección, indemnización o reclamación-.