El nuevo protocolo de encriptación, SHA-2, es incompatible con muchos teléfonos de bajo coste más usados en países en desarrollo
Foto: Los habitantes de los países en desarrollo, que a menudo dependen de un teléfono común para su principal conexión a internet, serán los más afectados por la retirada de SHA-1.
Por temor a perder usuarios de internet en algunas de las regiones más pobres y oprimidas del mundo, los proveedores tecnológicos Facebook y CloudFare están pidiendo una transición más suave al nuevo estándar de encriptación web que protegerá todo, desde las páginas de redes sociales hasta las transacciones online.
Desde el 1 de enero, los navegadores empezarán una retirada progresiva de lo que se conoce como el algoritmo SHA-1, con el objetivo de reemplazarlo con su sucesor, SHA-2, antes del 2017. Facebook y CloudFare, que proporciona seguridad y conexiones rápidas para páginas web, quisieran permitir que los usuarios con dispositivos incompatibles con SHA-2 sigan utilizando SHA-1, mientras el Sol se ponga sobre SHA-1 para el resto del mundo.
Cuando los usuarios de internet navegan hasta una página web encriptada, el intercambio bidireccional de información está protegido por una herramienta de encriptación llamada función hash. Estos algoritmos convierten cualquier mensaje en un batiburrillo único de letras y números que asegura que la información procede de la fuente correcta. Si se observa "https" dentro de la URL del navegador, es posible que la página a la que visita emplee SHA-1. Estas son las páginas que empezarán a alejarse del alcance de una pequeña población de usuarios de internet esta semana.
Desde mediados de la década de 1990, dos funciones hash han sido las principales protectoras de los navegadores de los usuarios. Mientras cae el coste de la potencia computacional, ha aumentado la facilidad con la que se pueden esquivar estas herramientas. La segunda función hash, el algoritmo MD5, fue retirada en 2008 después de que unos investigadores revelaran unos importantes fallos de seguridad. El coste de esquivar una función hash SHA-1 hoy se calcula que ascenderá a los 100.000 dólares (unos 92.000 euros) – una cifra que seguirá a la baja.
"La gente de alguna manera ha dicho: 'Oye, ya hemos visto esta película', y sabemos lo que se avecina y el riesgo sigue subiendo", explica el CEO de CloudFare, Matthew Prince.
La solución más eficaz es reemplazar SHA-1 con el más sofisticado SHA-2. Pero mientras que MD5 y SHA-1 han sido compatibles con los dispositivos de consumo desde un inicio, SHA-2 fue lanzado en 2001. Los usuarios con dispositivos antiguos – sobre todo los baratos teléfonos comunes empleados en países en desarrollo de Asia y África – podrían perder el acceso a páginas web encriptadas, sin capacidad para mejorar sus dispositivos. CloudFare calcula que el 6,08% de los navegadores en China no son compatibles con SHA-2. En Siria, es el 3,63%.
Richard Barnes, el director de Seguridad Firefox de Mozilla, dice que la empresa sólo ha encontrado un 3% de tráfico web que utiliza SHA-1.
"Interrumpir las experiencias de estos usuarios es bueno para internet", afirma Barnes. "Utilizar software antiguo es peligroso; además de requerir una criptografía rota, el software antiguo normalmente tiene otros problemas de seguridad que han sido solucionados en versiones más nuevas".
Si existe algún motivo para mantener SHA-1, sería para dar tiempo a los usuarios a descargarse software nuevo que facilite la transición, explica Barnes. Firefox llegó a interrumpir el uso de SHA-1 el año pasado, pero lo volvió a activar después de observar una enorme caída en la cantidad de descargas por Firefox. La gente con navegadores más antiguos no podían conectarse con mozilla.org para descargarse el nuevo software compatible con SHA-2.
Mientras siguen cayendo los costes de la computación, SHA-2 algún día se volverá débil y será necesario reemplazarlo. Muchos dispositivos actuales no son compatibles con SHA-3. Tecnologías como la computación cuántica podrían de repente convertir el conjunto al completo de algoritmos en instantáneamente rompibles.
"Este es un ejercicio que tendremos que hacer una y otra vez", asegura Prince. "Implementar un mecanismo para dar soporte de forma responsable al pasado mientras migremos al futuro es algo bueno, y facilitará la migración".