Las páginas web con protocolo de seguridad SSL pueden no ser seguras
Las páginas web con protocolo de seguridad Secure Sockets Layer (SSL), utilizado para acceder de manera segura a multitud de páginas web (incluyendo bancos y sitios de comercio electrónico, pero también de correo electrónico como Hotmail y Gmail) pueden no ser tan seguras como parecen. Un investigador ha mostrado cómo obtener contraseñas en sitios https.
El protocolo Secure Sockets Layer (SSL), utilizado en muchas páginas web (como bancos y sitios de comercio electrónico) puede ser corrompido, tal y como ha demostrado un investigador de seguridad.
Utilizando una aplicación especialmente creada, SSLstrip, un investigador que se llama a sí mismo Moxie Marlinspike ha demostrado en una conferencia lo vulnerables que son las conexiones SSL a un ataque del tipo man-in-the-middle (MitM), en el que un pirata puede apoderarse del tráfico de los usuarios que acceden a sitios seguros (del tipo https). Dicho de otra manera, con SSLstrip se simula una especie de "phishing al vuelo".
Para probar la efectividad del ataque, este investigador se hizo pasar por un atacante y consiguió 117 cuentas de correo electrónico, 16 números de tarjetas de crédito, 7 contraseñas de PayPal y otras 300 cuentas de acceso seguro a diversas páginas web en 24 horas. Entre las páginas web comprometidas se encontraban Paypal, LinkedIn, Hotmail y Gmail.
Además, lo curioso es que el atacador no necesita modificar el tráfico SSL encriptado, sino simplemente sacar partido de que los usuarios casi nunca se conectan directamente a los sitios seguros https, sino que primero acceden desde una página normal (http). Esto hace que sea posible hacer un seguimiento del tráfico entre en la navegador y la web antes de que SSL se establezca de manera segura, lo que le deja al usuario entre las dos opciones y el atacante puede hacer sus fechorías sin que el usuario se percate de ello. Es decir, que el fallo de SSL está en la manera en cómo se implementa en la página web y el usuario se ve comprometido cuando pasa de una web no segura (http) a una segura (https).
Según Marlinspike, el atacante también puede evitar que el navegador genere una alerta de certificado no válido. La única señal de que algo no está funcionando correctamente es el hecho de que no aparezca en la barra del navegador el protocolo https, que indica que estamos accediendo a un sitio seguro. Sin embargo, muchos usuarios no se percatan de este dato.
