El algoritmo MD5 tiene las horas contadas

La larga marcha hacia la obsolescencia del algoritmo de cifrado MD5 puede que se demorara un poco, pero es inevitable.

Oracle ha anunciado recientemente que cualquier archivo JAR (la extensión de los ficheros Java) que esté firmado con un cifrado MD5 será tratado como no cifrado, y por lo tanto como no seguro y será bloqueado por la nueva actualización de Java que incluía 270 parches.

Pero con esta nueva versión viene un nuevo retraso en la “muerte” de MD5, ya qué parece que algunas empresas todavía necesitan adecuarse a este cambio, por lo que Oracle ha puesto como fecha límite el 18 de abril de 2017.

Durante mucho tiempo, el algoritmo de cifrado MD5 fue el referente para los ficheros JAR. A partir de abril, sin embargo, los programadores deberán emplear nuevos métodos para firmar sus trabajos, si no Java los rechazará.

Al ejecutar un valor (como una URL) o un fichero a través del algoritmo MD5, la función dará una única cadena de 16 bytes, normalmente representada por un número hexadecimal de 32 dígitos. Puede que observaras un fichero MD5 cuando descargas un ejecutable de Internet, normalmente se incluye para que puedas comprobar la integridad del fichero.

Si ejecutas localmente el fichero descargado a través del algoritmo MD5 y tienes el mismo valor que el original, teóricamente los dos ficheros deberían ser idénticos.

Desafortunadamente, a mediados de los 90, los expertos en seguridad descubrieron que el MD5 tenía múltiples vulnerabilidades, incluidas algunas que permitían ataques de fuerza bruta. Por supuesto, los estándares comenzaron a cambiar, por eso el uso de MD5 comenzó lentamente a declinar. En 2008, el CERT y el Departamento de Seguridad Nacional de EEUU lo consideraron como no seguro.

Por lo tanto el uso de MD5 cada vez era menor, y muchas organizaciones buscaron alternativas. Uno de los primeros sucesores de MD5 fue SHA-1, pero también cayó en desgracia al descubrirse varios fallos de seguridad.

El sucesor más aceptado de estos algoritmos es la familia SHA-2 de hash criptográfico, que incluye el SHA-256 y el SHA-512. Los SHA-2 están considerados como mucho más seguros que sus predecesores y muchas empresas punteras los están empleándo.

Dado que las vulnerabilidades de MH5 son conocidas desde hace mucho tiempo, es extraño que Oracle siguiera dándole soporte durante estos últimos años. Esperemos que no queden muchos desarrolladores que todavía empleen el MD5 ya que tiene sus horas contadas.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: