A veces parece que estamos protegidos en Internet, cuando en realidad es sólo una ilusión.
A veces, nuestra percepción de que algo es seguro en Internet se basa simplemente en un icono o una palabra. “Datos cifrados”, “Conexión segura”… Y pensamos que entonces todo está bien, que estamos protegidos con nivel casi militar. Sin embargo, esto no es siempre así: hoy vamos a comentar dos casos muy comunes, en los que parece que estamos protegidos cuando en realidad no es así. Y los ejemplos los conoceréis y probablemente usaréis: son Amazon y Dropbox.
Conexión segura sólo para poner usuario y contraseña: sigues siendo vulnerable
Todo parece muy seguro, ¿verdad? Veremos que no es así en realidad.
Esta es una práctica demasiado extendida, por desgracia. La sensación de seguridad te la da el candado y las señales de “Página segura” cuando pones tu usuario y contraseña en una página para identificarte. Perfecto. Gracias a eso nadie podrá interceptar ni tu usuario ni tu contraseña.
Lo malo viene después. Una vez que has entrado en tu cuenta, la página vuelve a HTTP normal. Tus datos se envían sin cifrar por el aire. ¿Qué tiene de malo? Pues que te pueden robar la sesión. Cualquiera que intercepte esos datos de sesión (almacenados en las cookies) podrá ponerlos en su navegador y suplantar tu identidad en esa web.
Y no es un procedimiento difícil. De hecho, si tenéis ganas y un poco de paciencia, podéis hacerlo vosotros mismos con una de las webs más conocidas de todas: Amazon. Sí, efectivamente, cualquiera podría suplantaros en Amazon con no mucha dificultad. ¿Cómo conseguirlo?
Primero, entrad con vuestra cuenta en Amazon. En vuestro navegador, abrid el inspector de cookies (en Chrome, clic derecho en la página, inspeccionar elemento y pulsad “Recursos”). Buscad las cookies de Amazon: habrá unos cuantos pares de un nombre y un valor. Entonces, abrid una ventana de incógnito o en otro navegador donde no estéis identificados en Amazon.
Por cada uno de los pares de cookies que haya en el inspector, poned en la barra de direcciones del navegador el siguiente código: javascript:document.cookie=“nombre=valor”;, sustituyendo nombre y _valor por lo que corresponda, pulsando Intro y actualizando si la página de Amazon desaparece. Cuando hayáis acabado con todas, enhorabuena, habéis entrado en vuestra cuenta sin poner ni una sola contraseña. Como comprenderéis, hacer esto de forma automática no sería nada difícil para un atacante más experimentado que yo (es decir, para el 99.99% de los hackers de por ahí).
Como conclusión: los sitios web tienen que darte una conexión segura desde el momento en el que te identificas hasta que sales de él. Si no, toda esa seguridad aparente no sirve para nada.
Mis datos están cifrados, pero, ¿quién tiene la clave?
Quien tiene la llave, tiene el poder.
Imagino que todos sabréis más o menos cómo funciona el cifrado de datos. Tenemos un algoritmo de cifrado al que le pasamos los datos junto con una clave. Tras hacer una serie de operaciones, el algoritmo nos devuelve unos datos cifrados, que sólo se pueden descifrar y volver a leer si tienes la clave.
Bien, ahora que tenemos lo básico vamos a hablar de los muchísimos servicios de almacenamiento online que nos dicen que nuestros datos están cifrados. Pongo como ejemplo Dropbox porque es de los más usados, aunque también entran SkyDrive y Google Drive entre otros.
La pregunta que hay que hacerse es: ¿alguno de vosotros ha visto alguna vez esa clave de cifrado? (Y no, no es vuestra contraseña) Nadie, ¿verdad?
Y ese es el problema. ¿De qué me sirve que mis datos estén cifrados en la nube si es Dropbox el que tiene la clave? Si algún atacante entra en su servidor y encuentra las claves estás vendido. Además, esto también tiene un problema de privacidad: como es el proveedor y no tú quien tiene las claves, ellos pueden descifrar y leer tus archivos. Aunque no lo hagan sistemáticamente, pueden hacerlo.
La solución sería tener lo que se llama “Client Side Encryption”, o cifrado en cliente. Pero, como por desgracia suele ocurrir, más seguridad traería más inconvenientes: tendrías que instalar tu clave de cifrado en cualquier ordenador que sincronice con el servidor, y además crear clientes móviles y web sería más difícil.
Además, las subidas incrementales (cuando sólo has modificado una pequeña parte de un archivo y no subes todo el archivo entero) o evitando duplicados (cuando el servidor ya tiene una copia de un archivo que quieres subir, no hace falta subirlo de nuevo) serían mucho más complicadas de hacer ya que no podrían descifrar y analizar esos archivos.
Es importante que tengáis en cuenta todo esto a la hora de elegir un servicio de almacenamiento en la nube. Puede que este nivel de seguridad os sirva a muchos, pero si realmente estáis preocupados podéis usar otros servicios más blindados, como Wuala, por ejemplo.
Sólo he puesto dos ejemplos, pero estoy seguro de que hay muchísimos más casos de seguridad aparente, donde a pesar de que tenemos la sensación de estar protegidos seguimos siendo vulnerables. Si conocéis alguno, estaremos encantados de discutirlo en los comentarios.
Imagen | Bohman
Ver 30 comentarios
30 comentarios
Avengers
Simplemente Bravo! Excelente Articulo. Ojala y todos los artículos fueran como este: "Interesante y Directo". Nada de polémicas entre marcas o rumores sin sentido.
Se agradece sinceramente y ojala sigas escribiendo entradas como estas. Saludos!
beavis
Yo siempre he usado y recomendado la extensión HTTPS Everywhere de la Electronic Frontier Foundation. https://www.eff.org/https-everywhere
angel_luis
A cualquiera de nosotros un hacker muy bueno nos puede sacar hasta el DNI. El caso es que estos hacker de élite sólo van a por los peces gordos, ya sea para joderlos o conseguir su dinero.
Springbreaker
Hola a todos:
Miren tal vez mi opinión se aleje un poco del tema que es tecnología, aquí el asunto de que si es o no fácil robar información en internet, o robar un dulce en un supermercado, es el mismo. Cualquiera de nosotros podemos convertirnos en ladrones, la posibilidad existe, pero no todos lo hacemos, ya sea por educación, religión, valores, miedo, etc. El asunto aquí es que nunca se podrá estar 100% seguro en internet, pero eso no significa que lo vayamos a dejar de usar, es como si yo dijera, no voy a salir a la calle porque me pueden asaltar. Creo que el chiste es ser lo más prudente posible, si voy a comprar algo en Amazon, tal vez después de leer este articulo opte solo por pagar con Paypal y nunca con tarjeta de crédito, y no porque Paypal sea inviolable, sino porque al menos me da una "garantía" de compra, y tal vez lo haga como alguien comentó más arriba, bajo algún https, no sé, pero de que siempre habrá formas de burlar o hackear sistemas, siempre lo habrá. Las mismas personas que los crean, saben sus debilidades, es una constante del universo. Saludos
Kaled Kelevra
De hecho, si quieres estar totalmente seguro en Internet... no estés en Internet.
darkyevon
Cuando conectas el cable, ya puedes hacer lo que quieras, que algo de privacidad perderás seguro, y seguridad también. Cualquiera que esté en medio del camino entre tu y el servidor donde quieras comunicarte, podrá interceptar los datos y hacer lo que quiera. En cierta forma tenemos una fe ciega.
También estaría bien que hubierais comentado el caso mas famoso, whatsapp que todo viaja sin cifrar y cualquiera puede interceptar tus mensajes. Incluso haciendo una petición a su servidor, sacar conversaciones de otras personas.
electron222
Muchas gracias por la información 0/
Usuario desactivado
Otra vulnerabilidad grave en muchos servicios es que se reservan el derecho de hacer lo que les de la gana con tus datos, aunque en principio no lo hagan. Por ejemplo google o facebook.
De hecho tus datos son suyos; nombre, edad, estudios, intereses, fotos, amigos, conversaciones... En algunos casos incluso datos bancarios. Si te lees los terminos de servicio, que estoy seguro que todos leeis hasta el final, te pone los pelos de punta.
Aparte de que un dia puedan cambiar de idea y decidir sacar partido de tus datos, perdon, sus datos, tambien puede pasar que caigan en malas manos por causa de un fallo de seguridad. Lo que se conoce como el 'chernobil de la privacidad', que cualquier dia pasara.
64605
Quisiera preguntar si el modo de privacidad de Firefox digamos para usarle para realizar compras o pagos es tan seguro como dicen o es sólo una ilusión.
Gracias
zenjikage1
Hazme tuyo Guillermo! ಥ_ಥ
melibeotwin
Este tipo de artículos es mejor no leerlos. También es verdad que para el 99% de los usuarios de internet las contraseñas verdaderamente que tienen que estar seguras son las de los bancos que es donde está nuestro dinero.
Carlos Alberto
La verdad es que no me preocupo ya que uso el navegador más seguro. Si, Firefox.
drvy
No tienen la clave... eso es como afirmar que las guardan en texto plano.. de verdad crees que un servicio como DropBox o Skydrive guardaría sus contraseñas en texto plano ?
Al introducir tu contraseña esta pasa a ser cifrada mediante md5 o sha1 o otro... ademas de un hash aleatorio y un salt.. vamos que el único que sabe la contraseña eres tu.. lo demás es un string cifrado en un único sentido que solo se puede descifrar a fuerza bruta..
No se... pero deberías haberte informado un poco mas antes de escribir semejante cosa... literalmente estas afirmando que Dropbox guarda sus contraseñas en texto plano.............
Saludos