El cifrado XML, utilizado para asegurar las comunicaciones entre los servicios web y la mayoría de las empresas, incluidas IBM, Microsoft o Red Hat, es inseguro. Así de claro lo han dejado los investigadores Juraj Somorovsky y Tibor Jager, de la Ruhr University of Bochum (RUB) en Alemania, que han ideado un ataque que descifra los datos asegurados con DES (Data Encryption Standard) o AES (Advanced Encryption Standard) en modo CBC (cipher block chaining).

Somorovsky y Jager planean ofrecer más detalles de sus estudios durante la ACM Conference on Computer and Communications Security, que se celebrará a finales de este año en Estados Unidos.

Ambos investigadores aseguran que todos los algoritmos de cifrado de datos basados en el estándar XML Encryption se ven afectados por este ataque, que se basa en enviar datos cifrados modificados al servidor y analizar los errores hasta dar con la clave.

Todos los algoritmos son vulnerables a los ataques porque utilizan el modo CBC. “Todas las implementaciones del estándar se ven afectadas por el ataque”, aseguran los investigadores refiriéndose a las recomendaciones XML Encryption.

Somorovsky y Jager han enviado correos electrónicos a las empresas afectadas a través del World Wide Web Consortium (W3C), que es la organización que hizo el borrador del estándar. El ataque lanzado por los profesores de la universidad alemana tuvo éxito contra todas las implementaciones utilizadas por las compañías que respondieron a la información de los investigadores. 

Somorovsky y Jager han dicho también que no hay una solución fácil y que lo mejor es cambiar el estándar.