Investigadores encuentran vulnerabilidad en el cifrado XML que hace peligrar Internet

Un agujero de seguridad en el mecanismo de cifrado XML podría obligar a la industria a adoptar un nuevo estándar. En la actualidad está siendo utilizado por Apache, Red Hat, IBM, Amazon.com o Microsoft, entre muchos otros proveedores de servicios en la Red.

Dos investigadores de la Universidad Ruhr en Bochum, Alemania han realizado una demostración práctica en Chicago de un ataque al mecanismo de cifrado XML, método ampliamente utilizado por la industria de Internet.

La técnica empleada es capaz de descifrar los mensajes “encriptados” con cualquiera de los algoritmos soportados por el estándar de cifrado XML, incluidos los populares AES y DES.

Se trata de un hallazgo que podría obligar a los afectados a utilizar otro estándar alternativo a XML (eXtensible Markup Language), puesto en marcha en 2002 por el Consorcio W3 y diseñado para almacenar y transportar datos a través de Internet.

Romper el cifrado XML supone tener acceso a datos tan críticos como los números de tarjetas de crédito, que suelen viajar por Internet de esta forma
Romper el cifrado XML supone tener acceso a datos tan críticos como los números de tarjetas de crédito, que suelen viajar por Internet de esta forma

El método envía a los servidores texto cifrado que se ha modificado previamente. El servidor, al detectar dicha modificación, devuelve mensajes de error con información que les permite recopilar determinados datos para poder descifrar posteriormente los contenidos en XML. “Se trata de un fallo del que no parece haber una solución sencilla”, ha indicado uno de los investigadores, Juraj Somorovsky. “Lo que proponemos es que se cambie a otro estándar lo más pronto posible”, ha concluido tras la demostración.

El problema es mayor de lo que parece, ya que este tipo de cifrado de la información se utiliza en multitud de aplicaciones web como comunicaciones corporativas, comercio electrónico, servicios financieros, salud, infraestructura militar y servicios públicos a través de Internet.

El equipo de investigación ya ha avisado a compañías como Amazon.com, IBM, Microsoft o Red Hat, cuyos marcos de trabajo están afectados por este agujero de seguridad en el cifrado XML.

Cambiar de estándar supondrá que todos esos desarrollos deban ser actualizados, ya que no existirá compatibilidad hacia atrás.