Aquí está la actualización de seguridad que mantendrá a 40 millones de personas fuera de la web

Ese candado verde que ves en tu barra de URL indica una conexión auténtica y privada. Este certificado garantiza que su información permanece dentro de los límites del sitio web de confianza y que el sitio web que está visitando es en realidad el sitio que pretende ser. Cuando inicia sesión en Facebook, en otras palabras, se le promete que a) su información (inicio de sesión, comunicaciones, fotos, etc.) permanece dentro de los límites seguros del sitio yb) Facebook es en realidad Facebook, no un impostor.

Si alguien descifrara un sitio encriptado SHA-1, tendría en sus manos información extremadamente valiosa, haciendo que el costo del robo inicial sea insignificante. Un individuo, una organización o una nación podrían hacerse pasar por Facebook, por ejemplo, al interceptar cualquier intercambio o información privada que tanto deseen interceptar. Otra amenaza es un ataque de phishing, en el cual una persona, organización o nación se enmascara como un sitio para robar la información de los usuarios.

Dadas las inseguridades de SHA-1, la mayoría de los sitios principales están de acuerdo en que la transición está atrasada. Sin embargo, hay un inconveniente. Los usuarios de Internet con teléfonos o computadoras de escritorio antiguos no podrán acceder a los sitios cifrados SHA-2. Los teléfonos u ordenadores antiguos tienen techos virtuales que impiden la actualización de sus programas o aplicaciones. Y SHA-2 tendrá una especie de medida "Debes ser tan alto para viajar" en los navegadores. Esencialmente, si su teléfono o computadora no es "lo suficientemente alto" (léase: lo suficientemente nuevo, lo suficientemente actualizado) para "navegar", los sitios cifrados con SHA-2 lo rechazarán.

CloudFlare, quien investigó el problema y proporcionó su propia solución, enumeró los 25 países con el menor apoyo, y encontró que esta lista "se superpone con las listas de los países más pobres, más represivos y más asolados por la guerra en el mundo". El mundo se salvará: en Norteamérica y Europa occidental, más del 99 por ciento de los navegadores son compatibles con SHA-2. Sin embargo, en China, la cifra se reduce a alrededor del 93 por ciento, y en Camerún, Yemen, Sudán, Egipto, Libia, Costa de Marfil, Nepal, Ghana y Nigeria, es aproximadamente del 95 por ciento. El porcentaje de exclusión parece bajo, pero tomado en contexto equivale a un número asombroso de usuarios de Internet.

El resultado final es que la gran mayoría de los usuarios que serán rechazados del viaje SHA-2 serán aquellos que más necesiten acceder a los sitios. (Piense en el impacto de Facebook y Twitter en la Primavera Árabe). Además, los países que aún pueden enrutar la infraestructura a través de plataformas obsoletas serán vulnerables a los ataques.

El 31 de diciembre de 2015, algunos de los sitios más grandes de Internet estarán fuera del alcance de casi 40 millones de usuarios. Una resolución sensata pero difícil de Año Nuevo para actualizar la tecnología de encriptación bloqueará a alrededor del 5 por ciento de la población en línea del mundo en desarrollo de sitios seguros y certificados como Google, Facebook y Twitter.

Si su teléfono tiene más de cinco años, también será excluido.

Todo se debe a un cambio a la tecnología de encriptación SHA-2 de su predecesora, SHA-1. Es un poco confuso, pero aquí va: antes de SHA-1, los teléfonos móviles utilizaban tecnología de encriptación MD5, que en 2008 resultó inseguro. No fue hasta 2013 que el MD5 se eliminó por completo, y SHA-1 se convirtió en la regla.

Pronto, sin embargo, los expertos en seguridad rompieron SHA-1. Y con las computadoras más rápidas y más rápidas, cada vez es más barato descifrar los sitios SHA-1: un estudio de 2012 advirtió que aunque ese año le costaría aproximadamente $ 2.77 millones, la cifra en 2015 bajaría a $ 700,000. (En 2018, la estimación se redujo a $ 173,000, y en 2021, fue solo $ 43,000). Ahora que es 2015, sin embargo, como Ars Technica informes: "los investigadores creen que tal ataque podría llevarse a cabo este año por $ 75,000 a $ 120,000".

Esto es preocupante, o notable, por dos razones. Primero, los sitios que requieren los más altos niveles de seguridad son los sitios que reciben más tráfico, los sitios que son los más populares. Nuevamente, estos incluyen (pero no están limitados a) Google, Facebook y Twitter, y sus sitios asociados. Segundo, los usuarios cuyos dispositivos no pasarán la barrera están ubicados principalmente en países en desarrollo, a menudo naciones asoladas por la guerra y la injusticia.

La solución de CloudFlare, que está reproduciendo Facebook, es habilitar el "repliegue de SHA-1". Los usuarios que de otra manera estarían bloqueados de los sitios de CloudFlare o Facebook tendrán acceso bajo las protecciones de SHA-1. Esta no es una solución ideal, las fallas de seguridad seguirán existiendo, pero al menos será menos excluyente.

(Ya hemos pasado a SHA-2 aquí en Inverso. Si estás leyendo este artículo, puedes estar seguro de que podrás acceder a tus sitios favoritos en 2016.)