Un reciente ataque muestra el punto débil de la versión segura de HTTP.

El Protocolo de Transferencia Segura de Hipertexto o HTTPS permite el cifrado de los datos que se envían desde nuestro equipo a un servidor.

Básicamente, al usar HTTPS una página web codifica la sesión con certificado digital o SSL, de forma que el usuario tiene ciertas garantías de que la información que va a enviar no podrá ser interceptada y utilizada por terceros.

Hasta la fecha se consideraba que HTTPS era la mejor forma de crear una comunicación segura incluso en una red insegura, no obstante un reciente ataque ha traído algunas dudas sobre este protocolo.

En una conexión HTTPS, un navegador muestra sin problemas una web solo si esta incluye un certificado de seguridad firmado por una agencia independiente que garantice su autenticidad. Todo parece indicar que una agencia emitió certificados de forma no adecuada (gracias a unas credenciales de acceso robadas) que permitieron a un atacante crear páginas fraudulentas que por su diseño parecían verdaderas y desde las que se trató de espiar determinadas comunicaciones.

En concreto fue la autoridad de certificación Comodo la que emitió certificados SSL fraudulentos supuestamente para Microsoft, Mozilla, Google, Skype y Yahoo (mail.google.com, Login.live.com , www.google.com, login.yahoo.com, login.skype.com y mozilla.org), provocando la realización de ataques phishing casi imposible de ser detectados.

No obstante, Comodo tras ser consciente del problema y darlo a conocer, provocó que los certificados fraudulentos fueran anulados y los principales navegadores web actualizados para garantizar que la detección de dichos certificados.

Pese a la complejidad del ataque, este ha sido capaz de mostrar el punto débil de la que sigue siendo la versión segura del HTTP, y que usado comúnmente por bancos y plataformas e-commerce ha venido extendiendo su popularidad entre servicios como Twitter o Youtube.

Desarrollo Web

0 comentarios: