SHA-1 elimina sus librerías, es mejor actualizar
SHA-1 es un protocolo de cifrado lanzado en 1995 que se hizo bastante popular debido a su uso en todo tipo de servicios, que funcionan en Internet. Se trataba de un buen sistema para ocultar la información más delicada. Eso sí, su desarrollo ya tiene muchos años y, de hecho, en 2017 Google consiguió romper su seguridad, pasando después a ser vulnerable a ataques de fuerza bruta.
La última novedad ha llegado hace unos días, cuando los desarrolladores de dos librerías de Secure Shell han anunciado que van a tirar SHA-1 como protocolo de cifrado, ya que actualmente es demasiado vulnerable como para que se pueda seguir usando. De hecho, su utilización podría llegar a permitir manipular conexiones entre ordenadores.
La primera operación es la de dejar de dar soporte al protocolo en OpenSSH, aunque no hay duda de que las aplicaciones que todavía sigan usando SHA-1 tendrán que actualizar si quieren seguir dando seguridad a sus usuarios.
EMV, Git y BitTorrent, algunos de los afectados
Como ya hemos comentado, hay algunas aplicaciones que todavía siguen usando el protocolo SHA-1 y que, por lo tanto, podrían estar poniendo en peligro a sus usuarios. Un ejemplo está en el estándar de pagos EMV o en el repositorio Git, que todavía usa el algoritmo para verificar la integridad de los datos. Eso sí, hay que tener en cuenta que algunas aplicaciones hacen un uso my residual de las librerías afectadas.
Uno de los casos más llamativos está en BitTorrent, aplicación que utiliza SHA-1 con el fin de verificar la integridad del hash de un torrent. Básicamente, utilizan un sistema llamado “chunking” gracias al que los archivos se dividen en bloques con tamaños que van desde los 64 KB hasta los 2 MB, cada uno. Y, por supuesto, cada fichero tiene su propio hash, que es almacenado en los metadatos del propio .torrent o directamente es bajado en datos con el uso del .magnet que descargamos.
Lo más grave estaría en que sería posible modificar los paquetes que se descargan con el fin de introducir malware en los mismos, ya que es perfectamente factible realizar un ataque de colisión contra el hash: se genera un hash igual al del fichero original, pero con un fichero diferente.
Este es solo uno de los problemas que podría generar el uso de SHA-1, por lo que lo más recomendable es que las aplicaciones dejen de usarlo y actualicen a protocolos de seguridad más fiables.
La solución: actualizar los protocolos de seguridad que se están usando
Como ya hemos comentado, la única solución es la de actualizar los protocolos de seguridad y aplicaciones que estamos utilizando, evitando el uso de SHA-1 y pasando a utilizar bcrypt, SHA-256 o SHA-3, estándares más seguros y que no son vulnerables a ataques informáticos.
Aunque SHA-1 se está invalidando poco a poco, parece que las aplicaciones se tendrán que actualizar incorporando novedades en cuanto a la utilización de nuestros datos personales y, sobre todo, en cuanto a la seguridad que tienen para guardar este tipo de información.
