Con 27 años de vida, el algoritmo SHA-1 es uno de los primeros métodos utilizados para proteger la información electrónica. Según el NIST (National Institute of Standards and Technology) ha llegado al final de su vida útil y recomienda que se reemplace con algoritmos más nuevos que son más seguros.
SHA-1, cuyas iniciales significan “Secure Hash Algorithm”, se ha utilizado desde 1995 y según los expertos, dado que los ordenadores son cada vez más potentes, pueden atacar el algoritmo, lo que ha llevado al NIST a anunciar que “SHA-1 debería eliminarse antes del 31 de diciembre de 2030, a favor de los grupos de algoritmos SHA-2 y SHA-3 más seguros”.
Utilizado como base de numerosas aplicaciones de seguridad, incluida la validación de sitios web, SHA-1 protege la información generando un hash, una cadena corta de caracteres que resulta de una operación matemática compleja realizada en los caracteres de un mensaje. Si bien el mensaje original no se puede reconstruir solo a partir del hash, un destinatario puede usar el hash para verificar si el mensaje original se ha visto comprometido. La principal amenaza para SHA-1 es el hecho de que los potentes ordenadores de hoy pueden crear dos mensajes que conducen al mismo hash, lo que podría comprometer un mensaje auténtico; la técnica se conoce como “ataque de colisión”.
NIST ya ha anunciado que las agencias federales deben dejar de usar SHA-1 en situaciones donde los ataques de colisión son una amenaza crítica, como la creación de firmas digitales. El coste de lanzar ataques de colisión contra SHA-1 ha disminuido significativamente en los últimos años, y gigantes tecnológicos como Google, Facebook, Microsoft y Mozilla han tomado medidas para alejarse del algoritmo criptográfico. Las autoridades de certificación dejaron de emitir certificados con SHA-1 a partir del 1 de enero de 2017.
