viernes, 5 de noviembre de 2010

Atención, grave amenaza de robo de cuentas y datos en redes Wi-Fi abiertas

Ojo que esto es importante. Recientemente ha surgido una grave amenaza de seguridad para todos los usuarios de las principales redes sociales (se habla de peligro crítico en Facebook, Twitter, Google, Windows Live, WordPress y otros). Ha aparecido una extensión para Firefox con la que, con un simple clic, pueden obtenerse todos los datos de personas que estén conectadas a internet mediante una conexión Wi-Fi abierta (como las de los aeropuertos, bibliotecas, etc...).


Captura de Firesheep, extensión de Firefox, funcionando


Tal y como se explica en 1040.com, esta extensión para Firefox (que cualquier persona, incluso sin conocimientos de informática, puede descargar y usar) analiza el tráfico registrado en las redes Wi-Fi abiertas. El programa, de nombre Firesheep, captura los nombres de usuario y contraseñas leyendo los datos que se almacenan y envían en las cookies, con el fin de que no tengamos que estar iniciando sesión continuamente.

 

Con estos datos, que pueden obtenerse con un simple clic desde Firefox, cualquier persona podría tomar el control de nuestras cuentas, cambiando por ejemplo la contraseña. También podría, sencillamente, espiarnos o recoger nuestros datos personales cuando quisiera. Como puede verse en las imágenes, el funcionamiento es tan sencillo como pulsar en "Capturar" y esperar a que aparezcan los perfiles y cuentas privadas (con fotos y todo).

 

Firesheep, en plena captura de cuentas y datos personales

Desde nuestras casas no existe peligro, pues todos estos datos están cifrados por nuestra propia conexión (ya sea ésta a través de un router o un cable-modem). En las redes Wi-Fi abiertas no existe en cambio este tipo de cifrado. Los datos son totalmente accesibles.

 

Al parecer, las webs sociales suelen cifrar por sí mismas el Login inicial, pero no el resto de datos, con lo que las cookies se escapan. Afortunadamente el autor de la extensión no ha tenido nunca malas intenciones (de hecho hizo totalmente público su descubrimiento, en forma de la citada extensión de Firefox, además de en su blog). Gracias a él podremos protegernos, y seguramente las propias webs sociales incrementarán su seguridad a partir de ahora.

 

Si esta vulnerabilidad ha sido explotada antes es algo que se desconoce. El peligro que podría llegar a tener si se usara en grandes eventos masivos con redes Wi-Fi abiertas, bastante habituales por cierto, sería absolutamente crítico.

 

¿Existen soluciones para el problema? Desde luego que sí. La primera y principal es sencilla: no conectar a ningún sitio que requiera login (usuario y contraseña) desde una red Wi-Fi abierta, en un lugar público. Mejor usar una red 3G (telefonía móvil) aunque nos cueste dinero, o esperar a llegar a casa.

 

Si decidimos conectarnos existen algunas formas de bloquear Firesheep. Han aparecido otras extensiones para Firefox que sirven precisamente para eso, o para obligar al navegador a funcionar bajo una conexión segura (del tipo https). Lo malo es que esto último seguramente no será soportado por todas las webs.

 

Otra forma es navegar de forma anónima (existen webs desde las que podremos hacerlo). Tenéis más información sobre esto en este artículo: Cómo protegerse de Firesheep.

 

Que lo tenga todo el mundo en cuenta, esta vulnerabilidad ha sido muy difundida, y a buen seguro personas malintencionadas intentarán aprovecharla antes de que el público en general esté prevenido. El hecho de que cualquiera pueda usar Firesheep, aunque no sepa nada de informática, hace el peligro de una magnitud crítica. Por favor, compartid esta información con todos vuestros contactos.

 

Otra cosa, si conectamos a una red Wi-Fi que no sea nuestra, aunque sea desde nuestra propia casa, estaremos ante el mismo peligro aquí explicado. Al estar abierta cualquiera podrá ver nuestras cookies con programas como Firesheep (y los muchos que a buen seguro van a surgir en breve).

 

Por último, comentar que desde aquí estaremos atentos a cualquier amenaza para la seguridad que pueda afectarnos, especialmente en aquellas más relacionadas a nuestra actividad como comunicadores digitales y diseñadores multimedia. Para ello he creado una nueva temática: la seguridad.

Artículos relacionados: