Desde hace ya tiempo, el hash criptográfico SHA-1 lleva
siendo considerado como inseguro y, en teoría, vulnerable frente a distintos
ataques informáticos. Sin embargo, todo era teoría, hasta hace dos semanas,
cuando Google finalmente consiguió demostrar la primera colisión de hash SHA-1
y demostrando en la práctica los peligros de utilizar este algoritmo.
Algunos expertos de seguridad comparan el uso de
algoritmos inseguros con Heartbleed, el fallo de OpenSSL que puso en peligro a
millones de servidores conectados a Internet y que, a pesar de haber pasado 5
años desde el descubrimiento del fallo, aún hay más de 200.000 servicios
conectados a Internet vulnerables ante este fallo.
SHA-1 cada vez es menos utilizado, aunque su
uso aún es preocupante
- Tal como hemos dicho, a día de hoy aún el 21% de las
páginas web utilizan este certificado a pesar de los peligros de hacerlo.
Sin embargo, su uso sí se ha reducido notablemente frente a noviembre de
2016, donde más del 35% de las webs totales lo utilizaban aún. Aunque poco
a poco el número de webs que utilizan SHA-1 es menor, muchas empresas que
dependen de un gran número de certificados se están encontrando con muchos
problemas tanto técnicos como económicos, posponiendo la actualización de
estos certificados cada vez más.
- Por suerte, las grandes compañías de Internet como
Microsoft, Google y Mozilla ya han puesto los días contados a las webs que
aún sigan utilizando estos algoritmos, y es que, desde febrero de este
mismo año, estas páginas no serán de confianza para los navegadores,
quienes mostrarán avisos de advertencia al intentar visitar una página web
de estas, e incluso se bloquearán por completo a partir de mediados de
este mismo año.
- Utilizar aún este algoritmo, tanto en las conexiones
seguras como a nivel interno, es muy peligroso. Además de los peligros que
supone para la seguridad (ya que, por ejemplo, es posible que un archivo
haya sido modificado con malware, pero su hash sha-1 no haya sido
modificado, infectándonos), muchas plataformas, tal como le ha ocurrido a
Subversion, pueden dejar de funcionar si comparan la integridad de los
archivos con este hash.
- Es de vital importancia dar el salto a nuevos
algoritmos realmente seguros. Si queremos seguir utilizando algoritmos
SHA, es recomendable actualizar a una revisión de SHA-1 como, por ejemplo,
SHA-2 o SHA-3, algoritmos que, a día de hoy, son totalmente seguros, tanto
en la teoría como, sobre todo, en la práctica.