Seguridad
Internet

Microsoft insta a abandonar los algoritmos de cifrado antiguos

El pasaso martes era Patch Tuesday y, como es habitual, Microsoft ha parcheado varios fallos serios en Windows, Internet Explorer y Office, pero esta vez ha llamado la atención sobre las funciones de cifrado más antiguas, RC4 y SHA-1, que sugiere abandonar.

Windows aio

Estos algoritmos tienen conocidas debilidades y deben ser reemplazados por alternativas más seguras, basadas en despliegues SSL y certificados digitales.

La compañía ha presentado una actualización de seguridad para Windows 7, Windows 8, Windows RT, Windows Server 2008 R2 y Windows Server 2012, que permite a los administradores de sistemas desactivar el algoritmo RC4 mediante controles. La actualización también añade un comando SCH_USE_STRONG_CRYPTO que facilita la eliminación del soporte RC4 en sus aplicaciones de Internet que utilicen la librería Windows Secure Channel (Schannel).

Los controles añadidos en esta actualización no se habilitan de forma predeterminada, pero se recomienda su uso por la conocida debilidad del cifrado RC4. Para implementaciones SSL/TLS, Microsoft recomienda el cifrado AES-GCM como  alternativa, pero ésta requiere que los clientes habiliten el soporte de TLS 1.2 en sus servicios.

TLS, sucesor de SSL, ofrece opciones de cifrado en bloque, aunque no está muy extendido. Según las últimas estadísticas solo un 20 por ciento de las webs de todo el mundo lo soportan. No obstante, las más recientes versiones de los navegadores Chrome 30, Firefox 28, Internet Explorer 11, Opera 17 o Safari para Mac OS 7 ya lo soportan por defecto.

Sin embargo, Microsoft ha detectado que el 43 por ciento de las webs actuales priorizan el cifrado RC4 y es muy ampliamente utilizado. Con sus últimas investigaciones en la mano, queda claro que RC4 es un algoritmo débil y no debe utilizarse más, señala la compañía.

La compañía también ha anunciado una nueva política para reducir el uso del algoritmo SHA-1 en certificados digitales de aquí a 2016, que recomienda utilizar la siguiente versión SHA-2.

"La nueva política ya no permitirá a las autoridades de certificado raíz emitir certificados X.509 con el algoritmo SHA-1, a los efectos de SSL y firma de código, a partir del 1 de enero de 2016", sostiene la compañía en su advertencia sobre seguridad. "Emplear el algoritmo SHA-1 en certificados digitales podría permitir a un atacante modificar su contenido o permitir ataques phishing, entre otros peligros”, sostiene.

Este martes de parches en Microsoft también ha dejado una actualización de seguridad para un problema que existía en la forma en que Windows maneja los certificados X.509. "La vulnerabilidad podría permitir la denegación de servicio, si un servicio web afectado procesa un certificado X.509 especialmente diseñado a tal efecto", asegura la compañía en su comunicado.

También se han proporcionado nuevos parches de seguridad para vulnerabilidades críticas e importantes encontradas en varios componentes de Windows, Internet Explorer y Microsoft Office.
 



TE PUEDE INTERESAR...

Nuevo número de nuestra revista de canal 
 
DealerWorld Digital

 

Cobertura de nuestros encuentros

 

Documentos ComputerWorld



Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?