Hace más o menos una semana un nuevo rumor comenzó a correr como la pólvora entre la comunidad de expertos en seguridad informática: el protocolo criptográfico SSL en su versión 3.0 tendría grave fallo de seguridad no reportado hasta la fecha. Pues bien, el rumor era cierto, ya que la gente de Google lo ha confirmado al publicar una nota donde han proporcionado todos los detalles sobre la vulnerabilidad, que tres de sus propios ingenieros han descubierto y bautizado con el nombre de POODLE, siglas de Padding Oracle on Downgraded Legacy Encryption.
En esta ocasión, y sin entrar en galimatías técnicos, el problema se encuentra en los sistemas de cifrado utilizados por SSL 3.0 ya que los tres mentados ingenieros, Bodo Moller, Thai Duong y Krzysztof Kotowicz, han dado con una fórmula para comprometerlos (vulnerabilidad POODLE), lo que a su vez, en determinados entornos, permite secuestrar y hacer legibles datos cifrados bajo una sesión SSL (por ejemplo las cookies de sesión de servicios, gracias a lo cual posteriormente sería posible que el atacante tomara el control de esos servicios sin necesidad de contraseña).
"Va, pero a mí me han dicho que ya prácticamente ningún navegador web ni servidor usa SSL 3.0", quizá esté pensando alguno. Y estaría en lo cierto, pero sólo a medias, porque aunque ciertamente en la actualidad los browsers y servidores tienen activados por defecto otros protocolos criptográficos (alguna de las versiones de TLS), resulta que la mayoría siguen siendo compatibles con SSL 3.0 y muchos incorporan un sistema que, ante fallos de conexión, vuelven a intentar conectar utilizando protocolos criptográficos más antiguos, SSL 3.0 entre ellos (vamos, que el chico malo de turno podría provocar fallos en las conexiones con el objetivo de forzar el uso del protocolo SSL 3.0, el vulnerable).
