Microsoft ha instado al mundo de Windows a desconfiar del algoritmo de cifrado RC4, y cambiarle por otro más fuerte. Cisco también ha dicho a sus clientes que "eviten" el sistema de cifrado RC4.
Dentro de la criptografía RC4 o ARC4 es el sistema de cifrado de flujo más utilizado y se usa en algunos de los protocolos más populares como Transport Layer Security (TLS/SSL) (para proteger el tráfico de Internet) y Wired Equivalent Privacy (WEP) (para añadir seguridad en las redes inalámbricas).
Intrahistoria de la noticia
- Académicos encontraron defectos hace años en el algoritmo y los documentos secretos filtrados por el ex-NSA Edward Snowden este año, sugieren que espías de Estados Unidos y Reino Unido han desarrollado " capacidades innovadoras de criptoanálisis", que en última instancia permitirían a organismos de inteligencia romper el cifrado RC4.
- Jacob Appelbaum, investigador de seguridad informática y líder en el desarrollo de Tor, advirtió sin rodeos a principios de este mes: "RC4 se rompe en tiempo real por la NSA- dejen de usarlo ".
Ivan Ristic, director de ingeniería de la seguridad informática biz Qualys, añadió: "Incluso si no hay pruebas, es prudente asumir RC4 está completamente roto." - Pero esta semana, Microsoft ha hecho público lo siguiente: "animar encarecidamente a los clientes a evaluar, probar y poner en práctica las opciones para desactivar RC4 y aumentar la seguridad de los clientes, servidores y aplicaciones". Específicamente, Redmond quiere que la gente cambie a cripto-protocolo TLS 1.2 - que se utiliza en HTTPS, SMTP seguro, VPN y otras tecnologías - y utilizar el cifrado fuerte AES-GCM.
- El gigante de redes Cisco ha también, a partir de este mes, ha dicho a sus clientes que "eviten" el sistema de cifrado RC4, desechandólos de sus recomendaciones para los algoritmos criptográficos.
Recomendaciones al respecto
- "Afortunadamente, TLS 1.2 y AES-GCM no son vulnerables a estos ataques y ahora pueden oficialmente ser considerados la corriente principal", explicó Chester Wisniewski en un post en el blog Naked Security de Sophos, quien agregó que las últimas versiones de los navegadores web Google Chrome, Firefox, Safari y Opera soporte TLS 1.2 y AES-GCM.
- Windows 8.1 e Internet Explorer 11, ambos disponibles a mediados de octubre, por defecto a TLS 1.2 y shun RC4. Microsoft ha proporcionado un mecanismo para desactivar el uso de RC4 en Windows 7, 8, RT, Server 2008 R2 y Server 2012.
