Millones de dispositivos IoT hackeables por debilidad en el cifrado RSA
Hace un par de meses, el portal EUtoday publicó un informe de hacking ético sobre la seguridad de los certificados RSA mencionando que, si bien este es un algoritmo seguro (basado en el cálculo con números primos), su uso incorrecto permitiría la generación de certificados vulnerables o falsos, lo que podría conducir a múltiples inconvenientes de seguridad. Estos problemas también afectan a los dispositivos de Internet de las Cosas (IoT), pues el uso de certificados falsos podría permitir a un atacante desplegar ataques de denegación de servicio (DDoS), robo de información, entre otras actividades maliciosas.
Los certificados RSA son un ejemplo de criptografía de clave pública. Este método utiliza dos claves de cifrado diferentes: una clave privada y una clave pública. La clave privada se usa para descifrar mensajes o generar firmas digitales, mientras que la clave pública puede cifrar datos o verificar firmas digitales. Este método es seguro siempre que un atacante no conozca ninguno de los dos factores empleados para el cálculo RSA.
No obstante, los especialistas en
hacking ético consideran que esta suposición no es siempre válida, pues según
lo demostrado en un estudio de 75 millones de claves RSA públicas, una de cada
172 de estas claves comparten un factor común.
Estos factores comunes
representan un serio problema de seguridad para las claves RSA, pues podrían permitir
a un actor de amenazas determinar los dos factores primos utilizados en el
cálculo. Esta información sería de ayuda para derivar la clave privada asociada
a la clave pública. En el estudio, los investigadores lograron encontrar las
claves privadas para más de 435 mil de las 75 millones de claves RSA
analizadas.
En su informe, los especialistas
en hacking ético atribuyen esta debilidad de seguridad al constante crecimiento
del uso de dispositivos IoT, pues tienen reducida entropía
y restricciones de energía importantes. Cabe mencionar que la entropía es un
factor fundamental para la generación de una clave aleatoria segura; dado que
estos dispositivos generan los mismos números aleatorios con frecuencia cuando
intentan identificar números primos para usar en los certificados RSA,
incrementa considerablemente la posibilidad de que estos certificados compartan
un valor primo, volviéndose vulnerables a los ataques.
Acorde al Instituto Internacional
de Seguridad Cibernética (IICS), es vital atender estos riesgos de seguridad,
pues actualmente podemos encontrar dispositivos IoT en prácticamente todos los
hogares del mundo, por lo que su uso con fines maliciosos podría exponer a
millones de usuarios.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en programas de recompensas, protección de datos y la seguridad de datos. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.
