Desde la perspectiva de la seguridad del ordenador, las mejores claves para Internet deben ser largas, constar de una mezcla de letras, números, caracteres especiales y deben utilizarse cada una para un lugar. Lamentablemente, cumplir con estas pautas puede transformar la entrada a distintas páginas en una prueba desafiante de memoria. Las herramientas de administración de claves son una solución para personas que no pueden recordarlas todas, pero estas herramientas pueden presentar sus propios riesgos de seguridad. Ahora los investigadores han encontrado una manera para hacer que algunos de estos sistemas sean más seguros.

Los investigadores han centrado su trabajo en un tipo de administradores de claves pequeño pero cada vez más popular que se crea usando bookmarklets. Estos son marcadores del navegador que incorporan el código JavaScript para realizar una tarea compleja. En este caso, ingresar a un usuario automáticamente a una página en la Red. Después de estudiar seis bookmarklets que están a la venta, los investigadores identificaron un fallo importante: un atacante podría burlarse de las herramientas de modo que le revelen todas las claves del usuario.

“Es un problema serio que necesita ser tratado seriamente”, afirma Ben Adida, un socio de investigación en el Centro para Investigación sobre Computación y Sociedad en Harvard. Adida investigó el problema junto con Adam Barth, un socio de postdoctorado en ciencias de la computación en la Universidad de California, Berkeley, y Collin Jackson, un candidato al doctorado en ciencias de la computación en la Universidad de Stanford. Jackson pronunció un discurso recientemente en el MIT esbozando el problema de la seguridad y la solución del equipo.

Típicamente, un administrador de claves basado en el bookmarklet, almacena en un servidor central que está en alguna parte las claves para que el usuario las use en sus páginas favoritas. La próxima vez que el usuario visita alguna de esas páginas, simplemente clickea en el bookmarklet para ingresar. “Cuando el usuario clickea en el bookmarklet, está indicandole al navegador que quiere liberar una clave. La pregunta es ¿cuál?", explica Jackson.

El bookmarklet generalmente determina qué página estamos visitando cotejando el URL de la ventana del navegador utilizando JavaScript. Entonces el administrador de claves utiliza esa información para determinar qué clave le debe dar al navegador, y el usuario ingresa automáticamente.

Adida, Barth y Jackson descubrieron que si bien cada bookmarklet trataba con los detalles de la operación de un modo diferente, todos compartían un problema fundamental: no se podía confiar plenamente en que supieran qué lugar estaba visitando realmente el usuario. Con unas pocas líneas de código, se podía tender una trampa a la máquina para que creyera, por ejemplo, que el usuario estaba en la página de su banco, cuando estaba, realmente, en la página del atacante.

Jackson dice que “los ataques que encontramos trabajaban de una forma ligeramente diferente para cada administrador de claves”. Pero las seis herramientas analizadas podían manipularse para revelar las claves almacenadas del usuario.

Afortunadamente, Adida y su equipo hallaron una solución al problema que también fue fácil de implementar. En vez de cotejar la ubicación de la ventana del ordenador, sugirieron que se cotejara otro atributo: el “referrer header” (*). Mientras que el boomarklet utilice un protocolo de transferencia de datos estándar conocido como capa de conexión segura (SSL), no se puede falsificar al “header” tan fácilmente.

De las seis empresas de bookmarklet contactadas por el equipo de investigación, cinco decidieron implementar la solución: Verisign, My Vidoop, Clipperz, Pass Pack, y Meshed Life. La sexta empresa optó por advertirles a sus clientes al respecto del problema en vez de arreglarlo como sugirieron los investigadores.

“Fue un arreglo muy sencillo. Sólo costó unos pocos minutos de tiempo a los que lo desarrollaron”, dice Scout Blomquist, funcionario en jefe técnico para MyVidoop, de Pórtland, OR. Bloomquist describe la vulnerabilidad como “marginal”, destacando que sólo pocas personas utilizan la versión bookmarklet de su administrador de claves y que el ataque necesitaría de tiempo y pericia para poder realizarse.

De todos modos, podría potencialmente exponer a los usuarios a una pérdida financiera importante. Adidas agrega que “es poco probable que algún atacante realmente lo haya hecho, pero de ser así, ni siquiera lo sabrías”. Un usuario podría notar que su cuenta bancaria está sin saldo, pero sería difícil saber cómo perpetraron el ataque. “Al final del día, este tema de la seguridad se termina pareciendo un poco a los seguros de vida. La mayoría de los usuarios no están lo suficientemente paranoicos”.

Los investigadores creen que en el futuro, habrá una solución todavía mejor para el problema del bookmarklet: una prestación nueva del navegador llamada postMessage. Barth dice que la prestación postMessage está diseñada para permitir que la ventana del navegador transmita información de ida y vuelta de un modo seguro, mientras que confirma, con precisión, el origen de cada mensaje. Jackson dice que una vez que se implemente esta prestación en la mayoría de los navegadores, podría utilizarse para transmitir claves entre las ventanas o marcos del navegador de un modo seguro.

(*) Referrer header; Información que envía el navegador indicando cuál ha sido el último clic que hicimos para llegar a la página actual.