Desde hace ya tiempo, el hash criptográfico SHA-1 lleva siendo considerado como inseguro y, en teoría, vulnerable frente a distintos ataques informáticos. Sin embargo, todo era teoría, hasta hace dos semanas, cuando Google finalmente consiguió demostrar la primera colisión de hash SHA-1 y demostrando en la práctica los peligros de utilizar este algoritmo.

A pesar de que desde 2005 este certificado lleva siendo considerado como “inseguro” en la teoría, y desde hace dos semanas, además, lleva demostrada en la práctica dicha inseguridad, un reciente estudio ha demostrado que una de cada 5 páginas web aún lo utilizan, concretamente el 21% de las webs totales aún utilizan SHA-1 en sus conexiones, más de 33 millones de sitios web según la base de datos de Venafi.

Es cierto que la mayoría de páginas web que podemos usar en el día a día, como Twitter, Facebook o YouTube ya no utilizan estos algoritmos. Según el estudio, la mayoría de las páginas web que aún no han actualizado sus certificados de hash son páginas web empresariales que, sin saberlo, están poniendo en peligro tanto sus conexiones como las de los usuarios que se conectan a ellas.

Algunos expertos de seguridad comparan el uso de algoritmos inseguros con Heartbleed, el fallo de OpenSSL que puso en peligro a millones de servidores conectados a Internet y que, a pesar de haber pasado 5 años desde el descubrimiento del fallo, aún hay más de 200.000 servicios conectados a Internet vulnerables ante este fallo.

SHA-1 cada vez es menos utilizado, aunque su uso aún es preocupante

Tal como hemos dicho, a día de hoy aún el 21% de las páginas web utilizan este certificado a pesar de los peligros de hacerlo. Sin embargo, su uso sí se ha reducido notablemente frente a noviembre de 2016, donde más del 35% de las webs totales lo utilizaban aún. Aunque poco a poco el número de webs que utilizan SHA-1 es menor, muchas empresas que dependen de un gran número de certificados se están encontrando con muchos problemas tanto técnicos como económicos, posponiendo la actualización de estos certificados cada vez más.

Por suerte, las grandes compañías de Internet como Microsoft, Google y Mozilla ya han puesto los días contados a las webs que aún sigan utilizando estos algoritmos, y es que, desde febrero de este mismo año, estas páginas no serán de confianza para los navegadores, quienes mostrarán avisos de advertencia al intentar visitar una página web de estas, e incluso se bloquearán por completo a partir de mediados de este mismo año.

Utilizar aún este algoritmo, tanto en las conexiones seguras como a nivel interno, es muy peligroso. Además de los peligros que supone para la seguridad (ya que, por ejemplo, es posible que un archivo haya sido modificado con malware, pero su hash sha-1 no haya sido modificado, infectándonos), muchas plataformas, tal como le ha ocurrido a Subversion, pueden dejar de funcionar si comparan la integridad de los archivos con este hash.

Es de vital importancia dar el salto a nuevos algoritmos realmente seguros. Si queremos seguir utilizando algoritmos SHA, es recomendable actualizar a una revisión de SHA-1 como, por ejemplo, SHA-2 o SHA-3, algoritmos que, a día de hoy, son totalmente seguros, tanto en la teoría como, sobre todo, en la práctica.

¿Qué opinas sobre el bloqueo de las webs que aún utilicen SHA-1? ¿Crees que es un movimiento acertado para lograr un Internet más seguro?