Hace unos días, un complemento para el navegador Firefox nos mostraba lo sencillo que es hacerse, por ejemplo, con los datos de acceso a las principales redes sociales de usuarios que usan redes inalámbricas abiertas.
Al introducir un usuario y contraseña en una página para acceder al servicio, el servidor genera como respuesta una cookie que será usada por el navegador para las peticiones posteriores. En la mayoría de los sitios de Internet el proceso anterior está cifrado, sin embargo, muy pocos mantienen el cifrado una vez realizado este paso y sirven el resto del contenido usando el protocolo HTTP.
Una cookie transmitida por HTTP puede ser robada por un usuario malintencionado en un secuestro de sesión HTTP o “sidejacking”. De esta forma, es posible suplantar la identidad de la víctima y llevar a cabo todas las acciones que el usuario esté autorizado a realizar, como acceder a sus redes sociales, publicar contenidos en ellas o realizar cualquier tipo de modificación en su perfil personal.
Este problema crece exponencialmente si se hace uso de una red inalámbrica abierta. Algunas herramientas analizan el tráfico entre un ordenador y el punto de acceso al que se encuentra conectado. En algunos casos, solo es necesario un clic para que un usuario malintencionado obtenga las credenciales de su víctima.
La aplicación Firesheep es una prueba de la facilidad con la que se pueden obtener las credenciales de un usuario para diversos y conocidos sitios de Internet que sirven sus páginas mediante al protocolo HTTP.
(Imagen cortesía de codebutler)
Si se debe hacer uso de una red inalámbrica abierta, en conferencias, aeropuertos, cafeterías, hoteles, etc pueden instalarse herramientas en nuestros navegadores como, por ejemplo, Force-TLS que forzará al ordenador del cliente y al servidor a comunicarse mediante HTTPS
1- La primera vez que se establece una comunicación mediante HTTPS entre un cliente y un servidor de Internet. El nombre de dominio del servidor se guarda en una base de datos del cliente.
2- El equipo cliente enviará, desde ese momento, todas las peticiones mediante HTTPS.
3- El tráfico mediante HTTP ya no estará permitido,
4- Force-TLS forzará a que la comunicación desde el servidor al cliente se realice
mediante HTTPS.
5- De igual forma, se forzará a que el tráfico desde el cliente al servidor sea por HTTPS.
Si se tratase de nuestra propia red inalámbrica, se recomienda configurarla de forma segura. En las páginas de la OSI y de INTECO-CERT se ofrecen unas guías con consejos para llevar a cabo una correcta configuración. Esto no corrige el problema de la comunicación entre el servidor y el ordenador del usuario, pero evita que personas no autorizadas accedan a nuestra red inalámbrica con fines malintencionados.
