{"id":20698,"date":"2012-10-25T21:15:11","date_gmt":"2012-10-26T01:15:11","guid":{"rendered":"http:\/\/sosuaonline.net\/inicio\/nueva-vulnerabilidad-gmail-pone-en-peligro-datos-de-los-usuarios\/"},"modified":"2012-10-25T21:15:11","modified_gmt":"2012-10-26T01:15:11","slug":"nueva-vulnerabilidad-gmail-pone-en-peligro-datos-de-los-usuarios","status":"publish","type":"post","link":"https:\/\/sosuaonline.net\/inicio\/nueva-vulnerabilidad-gmail-pone-en-peligro-datos-de-los-usuarios\/","title":{"rendered":"Nueva vulnerabilidad Gmail pone en peligro datos de los usuarios"},"content":{"rendered":"

\"gmail_logo_stylized1\"Un usuario de Gmail<\/strong>, el servicio de correo de Google, ha detectado una vulnerabilidad en el sistema<\/strong>. Este fallo fue descubierto cuanto el matem\u00e1tico Zachary Harris recibi\u00f3 una oferta de trabajo de la propia Google. El problema de Gmail radicaba en la clave DKIM<\/strong>, utilizada para iniciar sesi\u00f3n en los dominios de correo electr\u00f3nico.<\/p>\n

<\/p>\n

 Todo comenz\u00f3 con un extra\u00f1o email de un reclutador de Google enviado<\/strong> al matem\u00e1tico de 35 a\u00f1os, Zachary Harris<\/strong>. En dicho correo, le ofrec\u00edan un puesto como ingeniero en fiabilidad web. \u201cEs obvio que tiene pasi\u00f3n por Linux y por la programaci\u00f3n. Me gustar\u00eda saber si usted est\u00e1 abierto a explorar, confidencialmente, oportunidades en Google\u201d, dec\u00eda el email.<\/p>\n

 La primera opci\u00f3n que baraj\u00f3 Harris fue que el email hab\u00eda sido falsificado<\/strong>, enviado por un estafador que quer\u00eda hacerse pasar por un empleado del gigante de las b\u00fasquedas. Sin embargo, cuando el matem\u00e1tico examin\u00f3 toda la informaci\u00f3n que hab\u00eda en el correo, se dio cuenta de que todo estaba en orden y parec\u00eda leg\u00edtimo.<\/p>\n

 Harris se percat\u00f3 de que Google estaba usando una clave criptogr\u00e1fica d\u00e9bil para certificar a los destinatarios<\/strong> de que su correspondencia ven\u00eda de un dominio leg\u00edtimo de Google. Por lo tanto, cualquier persona que pueda desvelar esa clave, podr\u00eda utilizarla para suplantar a un remitente.<\/p>\n

   El problema radicaba en la clave DKIM<\/strong> (DomainKeys Identified Mail) que Google utiliza para Gmail. DKIM incluye una clave criptogr\u00e1fica que se utiliza para iniciar sesi\u00f3n en los dominios de correo electr\u00f3nico <\/strong>y sirve para confirmar a un destinatario que la informaci\u00f3n del encabezado en un e-mail es correcta. Cuando el correo electr\u00f3nico llega a su destino, el receptor puede buscar la clave p\u00fablica a trav\u00e9s de los registros DNS del remitente y verificar la validez de la firma.<\/p>\n

\u201cEl hecho de que yo entrara en esto sin saber lo que es una cabecera DKIM, demuestra que alguien con conocimientos t\u00e9cnicos suficientes puede resolverlo sobre la marcha\u201d, asegura Harris.<\/p>\n

Por razones de seguridad, las llamadas est\u00e1ndar DKIM son de<\/strong>, al menos, 1.024 bits de longitud<\/strong>. Sin embargo, Google estaba usando una clave de 512 bit<\/strong> que podr\u00eda ser f\u00e1cilmente corrompible. Teniendo en cuenta todo esto, Harris pens\u00f3 que Google no podr\u00eda ser tan \u201cdescuidado\u201d por lo que el matem\u00e1tico, pese a no estar interesado en la oferta de trabajo, desencript\u00f3 la clave y envi\u00f3 un mensaje a los fundadores de Google, Sergey Bin y Larry Page.<\/p>\n

 Harris se asegur\u00f3 que los mensajes que se enviaran desde las cuentas de los fundadores del gigante de las b\u00fasquedas le llegaran tambi\u00e9n a \u00e9l. Sin embargo, dos d\u00edas despu\u00e9s las claves encriptadas<\/strong> del correo de Google hab\u00edan cambiado repentinamente a 2.048 bits<\/strong>. Adem\u00e1s, Harris nunca recibi\u00f3 respuesta de los fundadores de Google.<\/p>\n

Por ello, Harris se dio cuenta de que la vulnerabilidad que hab\u00eda encontrado era cierta. Adem\u00e1s, comenz\u00f3 a explorar otras webs<\/strong> y se percat\u00f3 de que muchas de ellas ten\u00edan el mismo problema con las claves DKIM<\/strong>: PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, Bank EE.UU., HP, Match.com y HSBC.<\/p>\n

Seg\u00fan la revista Wired, una portavoz de Google ha afirmado que la compa\u00f1\u00eda ha estado trabajando en esta vulnerabilidad y ya ha revocado las claves para todos sus dominios afectados y reeditado otros nuevos mayores de 1.024 bits.<\/p>\n

Fuente<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Un usuario de Gmail, el servicio de correo de Google, ha detectado una vulnerabilidad en el sistema. Este fallo fue descubierto cuanto el matem\u00e1tico Zachary Harris recibi\u00f3 una oferta de trabajo de la propia Google. El problema de Gmail radicaba en la clave DKIM, utilizada para iniciar sesi\u00f3n en los dominios de correo electr\u00f3nico.<\/p>\n","protected":false},"author":3,"featured_media":20697,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"advanced_seo_description":"","jetpack_seo_html_title":"","jetpack_seo_noindex":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[76],"tags":[],"class_list":["post-20698","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/sosuaonline.net\/inicio\/wp-content\/uploads\/2012\/10\/sosua_images_gmail_logo_stylized1.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/sosuaonline.net\/inicio\/wp-json\/wp\/v2\/posts\/20698","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sosuaonline.net\/inicio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sosuaonline.net\/inicio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sosuaonline.net\/inicio\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/sosuaonline.net\/inicio\/wp-json\/wp\/v2\/comments?post=20698"}],"version-history":[{"count":0,"href":"https:\/\/sosuaonline.net\/inicio\/wp-json\/wp\/v2\/posts\/20698\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sosuaonline.net\/inicio\/wp-json\/wp\/v2\/media\/20697"}],"wp:attachment":[{"href":"https:\/\/sosuaonline.net\/inicio\/wp-json\/wp\/v2\/media?parent=20698"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sosuaonline.net\/inicio\/wp-json\/wp\/v2\/categories?post=20698"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sosuaonline.net\/inicio\/wp-json\/wp\/v2\/tags?post=20698"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}