Bautizado DUHK por los investigadores que lo descubrieron, este nuevo ataque criptográfico permite a un atacante usar un ordenador moderno cualquiera para generar las llaves de cifrado que protegen conexiones VPN, sesiones de navegación seguras y otro tipo de tráfico o datos cifrados en apenas unos cuatro minutos.

La investigación fue publicada por tres investigadores de la Universidad de Pensilvania y la Universidad Johns Hopkins. Ahí explican cómo usaron el exploit para interceptar el tráfico cifrado de varios dispositivos que utilizan empresas alrededor del mundo como cortafuegos o para crear redes VPN privadas.

No ta malo como KRACK, pero casi

DUHK, cuyas silgas hacen referencia a "Don't Use Hard-coded Keys" (no uses claves estáticas), es una vulnerabilidad que combina dos problemas:

Afecta dispositivos que usan al algoritmo RNG ANSI X9.31 para generar sus claves de cifrado, y este es uno que se usa de forma común para asegurar redes VPN y sesiones de navegación.
Esto, sumado a que la clave de cifrado es estática y reside en el mismo código del firmware afectado, hacen que el atacante pueda recuperar las claves de una implementación vulnerable.

La semana pasada la noticia que colmaba las portadas era KRACK, la vulnerabilidad que dejaba expuesto el protocolo WPA2 que usan básicamente todos los dispositivos WiFi modernos.

Ahora, DUHK es una vulnerabilidad diferente y que solo afecta a aquellos dispositivos que usen el método vulnerable de negociación de claves que describen los investigadores. Sin embargo, no es nada trivial, y para citar …