Una falla crítica ha sido descubierta en la capa de conexión segura (Secure Socket Layer, SSL) versión 3.0, la cual podría dejar los datos web de los usuarios expuestos a ataques.

Bodo Möller, investigador del equipo de seguridad de Google, informó el descubrimiento del fallo llamado Poodle, advirtiendo que podría ser explotado por hackers para descifrar datos web supuestamente protegidos.

"Esta vulnerabilidad permite que el texto claro de conexiones seguras sea calculado por un atacante de la red", explicó en un blog.

Möller agregó que el fallo es particularmente grave pues, a pesar de tener más de 15 años de antiguedad, SSL 3.0 todavía se utiliza comúnmente como un protocolo primario o de resguardo de protección.

"Casi todos los navegadores lo soportan y, con el fin de evitar errores en los servidores HTTPS, los navegadores volverán a intentar establecer conexiones fallidas con versiones antiguas del protocolo, incluyendo SSL 3.0", explicó.

"Debido a que un atacante de la red puede provocar fallos en la conexión, éste podría forzar el uso de SSL 3.0 y luego aprovecharse del fallo."

Google recomienda a propietarios de servidores adoptar TLS_FALLBACK_SCSV para resolver el problema de Poodle. La actualización es un sistema cuya función es bloquear las conexiones fallidas sin tener que recurrir al uso de SSL 3.0.

Servidores de Chrome y Google son compatibles con TLS_FALLBACK_SCSV desde febrero. La empresa también anunció planes para eliminar SSL 3.0 de todos sus sistemas "en los próximos meses".

Actualmente no está claro si Poodle está siendo activamente explotado por los hackers, aunque el fallo ha causado preocupación en la comunidad de seguridad.

Microsoft publicó un aviso de amenaza por separado para sus clientes, diciendo que simplemente deshabilitando SSL 3.0 podría dejar sitios antiguos fuera de línea.

"[Poodle] es una vulnerabilidad de toda la industria que afecta al protocolo en sí, y no es específico de la implementación de SSL de Microsoft o del sistema operativo Windows", escribió el director de Microsoft de Comunicaciones de Respuesta, Tracey Pretorius.

"Los clientes deben estar conscientes de que una vez que deshabiliten SSL 3.0, si se visita una página web que sólo soporta SSL 3.0 y no es compatible con protocolos de cifrado más recientes, recibirán un mensaje de error de conexión y no serán capaces de conectarse al sitio web."

A pesar de la falta de información por parte de la empresa, los expertos en seguridad han advertido que es sólo cuestión de tiempo antes de que se comience a explotar Poodle.