El pasado viernes, Apple anunció una actualización al sistema operativo iOS. El mensaje, que es muy escueto, explica acerca de una vulnerabilidad de seguridad del navegador Safari. Si quiere parar de leer este artículo en este momento, lo único que necesita saber es que tiene que actualizar sus dispositivos a la nueva versión del sistema operativo hoy mismo
¿De que se trata la vulnerabilidad?
La historia corta es que la conexión, que se anuncia segura, entre su dispositivo y algún website, como su banco, su correo electrónico o sus cuentas de redes sociales, en realidad no lo es. Cualquiera, que tenga intenciones perversas podría suplantar la identidad de un sitio de internet y robar sus claves o datos personales.
El problema reside en la la manera como se comunica su browser con el servidor donde reside el website o servicio que quiere visitar. Normalmente, cuando su browser necesita iniciar una conexión segura con un sitio de internet, su browser intercambia unas claves con el servidor remoto. Esas claves aseguran que solo quien las tiene puede comunicarse por esa conexión. El problema es que quienes escribieron el código en Apple dejaron una linea extra de código donde la conexión se inicia aunque la verificación en el intercambio de claves haya fallado. Así, una persona con malas intenciones puede suplantar un sitio de internet, y capturar sus datos. Ud. como usuario no podrá darse cuenta, pues su browser estará reportando que todo esta perfecto.
An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS. Description: Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.
¿Cómo sé si estoy en una conexión segura?
Desde luego, si no ha actualizado el sistema operativo no podrá tener la certeza de que está usando una conexión segura. Pero si ya hizo la actualización, la manera de saberlo es mirando en la barra de su browser. Si aparece un candado justo al lado de la dirección de internet con la que está conectado, ud. está usando una conexión segura.
Este candado indica que su browser está usando el protocolo que usan los browsers para crear conexiones seguras que se conoce como TSL/SSL. Para el usuario este procedimiento es completamente transparente. Todos los browsers modernos lo soportan y es el estándar de facto en internet.
Image:
¿A quienes afecta esta vulnerabilidad?
En este momento están afectados todos los dispositivos Apple, tanto móviles como PCs. Para poder explotarla, el hacker debe estar en una posición de red privilegiada, que es una manera bonita de decir en la misma red que ud. está. Si se conecta desde su casa, posiblemente no haya problemas, pero si se conecta desde un restaurante o red pública la situación es comprometedora. La probabilidad de que un hacker lo tenga justo a ud. como objetivo también es baja, pero es mejor que no juegue con las probabilidades.
¿Qué debo hacer?
Apple anunció la actualización de los dispositivos iOS a 7.0.6 el viernes. Para instalarla, vaya a Configuraciones – Actualización de Software y asegúrese que el mensaje indica que está usando iOS 7.0.6
Para su computador o laptop aún no se ha liberado una actualización. Pero es importante recalcar que en ellos solo está afectado el navegador Safari. Para evitar ya mismo la vulnerabilidad, recomendamos usar Chrome o Firefox como navegador, mientras Apple libera la actualización. Algo que debe suceder muy pronto.
Ojo con el update, mi 5s quedó en restore hoy… Nunca actualizó, tocó restaurar.