Vulnerabilidad en SHA-1: Falsificación de documentos digitalmente posible

Investigadores de Centrum Wiskunde & Informatica (CWI) y Google han demostrado, de forma práctica, la vulnerabilidad de SHA-1, un estándar criptográfico ampliamente utilizado para la verificación de la integridad de archivos y firmas digitales. Esto significa que ahora es posible crear dos archivos PDF aparentemente diferentes que generen la misma firma digital SHA-1, lo que podría ser explotado para fines maliciosos, como la falsificación de contratos. Aunque las vulnerabilidades teóricas de SHA-1 eran conocidas desde 2005 y fue oficialmente desaconsejado en 2011, su uso persiste en diversas aplicaciones, incluyendo sistemas de control de versiones como Git y Subversion, y en la infraestructura de certificados digitales. El ataque, denominado 'SHAttered', requirió una enorme cantidad de poder computacional (equivalente a 6,500 años de procesamiento de un solo núcleo o 110 años de procesamiento de una sola GPU). Google ya ha implementado protecciones en Chrome y Google Drive, y Firefox ha deprecado SHA-1. Se insta a la industria a migrar a alternativas más seguras como SHA-256 o SHA-3, y se ha puesto a disposición una herramienta online para verificar archivos.