Desde mediados de la década de 1990, sin embargo, las fallas se han conocido en el algoritmo MD5 que permiten descifrar hashes MD5. Por esa razón, MD5 hace mucho tiempo dejó de ser utilizado para utilizado para tareas que requieren de alta seguridad y privacidad, como la firma de SSL / TLS certificados (que se utilizan para proporcionar el cifrado HTTPS para sitios web). Pero resulta que los hashes MD5 vulnerables permanecen en uso en otras capas de la esquema de cifrado TLS, entre otros lugares. Como resultado, se facilita una serie de ataques llamados PEREZA por los investigadores de seguridad que ellos describen en un artículo reciente.
Los ataques permiten a los servidores maliciosos para posar sitios web legítimos con el fin de robar información de los usuarios. También podrían hacer posible que los espías de la red para descifrar los datos que deben ser privado. Puedes usa el servicio VPN gratis para aumentar la seguridad de tu PC.
Otros protocolos de cifrado utilizados, incluidos los que se utilizan para asegurar SSH, IPsec y XMPP de mensajería, también pueden ser vulnerables a los ataques resultantes de la deficiente aplicación de hash MD5. La buena noticia es que los ataques PEREZA no afectan a todos los sitio web o aplicación que utiliza MD5. Ellos requieren ciertas condiciones para trabajar. También requieren un tiempo para ejecutar, desde que se fracturó hashes MD5 puede tomar un par de horas, no segundos.
Eso significa que estas vulnerabilidades no son susceptibles de ser utilizados para recoger grandes cantidades de información de los usuarios de Internet de una manera sistemática. Pero podrían ser útiles para la orientación individuos particulares, como los periodistas, cuya actividad en línea o las autoridades de información privados pueden querer controlar.
Por ahora, los ataques PEREZA significa principalmente que el cifrado HTTPS no se puede confiar (no es que usted debería haber asumido que era perfecto antes, tampoco). Si usted está preocupado acerca de la privacidad, la protección de su tráfico con una VPN agregará otra capa útil de privacidad de datos.