Recientemente investigadores del Instituto Francés de Investigación en Informática y Automática (INRIA por sus siglás en francés) descubrieron una vulnerabilidad de SSL/TLS que dejaba a millones de usuarios de Android y Apple desprotegidos contra ataques man-in-the-middle.

FREAK, de Factoring Attack on RSA-EXPORT Keys, permite que los hackers y agencias de inteligencia fuercen a los clientes a usar métodos de encriptación más débiles, o claves RSA de 512 bits. Versiones de OpenSSL 1.01k y anteriores, y Secure Transport de Apple son propensos a esta vulnerabilidad. Microsoft también ha confirmado que sus sistemas operativos de Windows traen esta falla.

¿Más de veinte años?

Durante los 90s, el gobierno de EE.UU. intentó regular la exportación de dispositivos que utilizaran encriptaciones fuertes, por lo que se utilizó una encriptación más debil de 512 bits, conocida como "export-grade". Más adelante en el año 2000 las leyes cambiaron, y se le permitió a los fabricantes enviar cifrados de 128 bits con sus productos, pero el soporte para la encriptación débil nunca se removió. Con el avance de la capacidad de procesamiento de las computadoras, hoy en día resolver una clave de 512 bits es relativamente sencillo.

Un escaneo a 14 millones de sitios web que utilizan el protocolo SSL/TLS descubrió que 36% de esos sitios aún soportan este tipo de encriptación débil. Google, Apple y Microsoft ya están trabajando en soluciones y se espera que actualizaciones sean distribuidas en los siguientes días.