Un fallo podría permitir la falsificación de certificados digitales

l MD5 (Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5), fue creado en 1991 por Ronald Rivest. Desde entonces este sistema ha sido utilizado ampliamente para crear certificados digitales de seguridad, los cuales son utilizados para validar como auténtico un sitio web.

Para el usuario tanto la creación como implementación de los mismos es prácticamente transparente ya que no se requiere su participación. Los navegadores son quienes mediante ciertos iconos o colores advierten el uso o no de certificados en la página web visitada.

Por otra parte, las entidades financieras con sistemas y transacciones en línea o incluso portales de compra-venta, los utilizan para autenticar usuarios y encriptar transacciones.

Sobre el final de 2008, un grupo de investigadores internacionales expuso un fallo en el algoritmo en una conferencia en Berlín. Demostraron como es posible clonar las credenciales de seguridad digitales sin que pierdan su validez, pero modificando los datos incluidos en el mismo.

Si un atacante llegara a aprovecharse de esta vulnerabilidad, podría montar un sitio web falso, que con el uso de un certificado alterado maliciosamente, se mostraría ante las víctimas como auténtico. De esta manera el criminal obtendría los datos financieros que fueran ingresados en su web, permitiéndole realizar múltiples estafas con ellos.

De todos modos, los investigadores no han publicado los detalles técnicos para evitar su explotación con fines maliciosos. Incluso afirman que el algoritmo ya fue vulnerado en 2004, y que recién en 2007 se publicó un posible tipo de ataque. En esta ocasión el peligro no reside en la decodificación sino en su imitación.

En el pasado año dos protocolos de cifrado inalámbrico quedaron obsoletos y con fallos dejando su lugar a otros más nuevos y supuestamente mejores. Ahora MD5 también es candidato a ser sustituido.

Microsoft ha publicado un informe de alerta en el cual recomienda el uso de algoritmos como SHA-1 u otro método para codificaciones, los cuales son soportados por los sistemas actualmente en uso. SHA-2 es relativamente nuevo y no se ha estandarizado lo suficiente como para implementarlo.

Las empresas encargadas de realizar y validar los certificados para otras compañías deberían migrar a otros algoritmos más seguros y evitar crear nuevos.

Al momento de la publicación no se conoce que existan ataques que se aprovechen de este fallo. Igualmente cualquier certificado creado antes de esta fecha podría seguir siendo utilizado.

A los administradores de sitios web con certificados digitales, se les aconseja que contacten a la entidad emisora para conocer el estado de los mismos y el algoritmo utilizado en la creación.