La mayoría de los sitios web utilizan una conexión codificada para transferir información sensible -como los nombres de usuario, contraseñas y números de tarjetas de crédito- en internet. Moxie Marlinspike, investigador de seguridad independiente, dio a conocer esta semana en Black Hat DC (una conferencia de seguridad para ordenadores celebrada en Washington D.C., en Estados Unidos), una herramienta que puede secuestrar conexiones seguras y engañar a los usuarios para que envíen este tipo de información creyendo que la conexión es fiable.

El ataque se basa en el hecho de que la mayoría de la comunicación en el internet se hace de manera no segura. Las conexiones se hacen seguras cuando la situación lo requiere, con el uso del protocolo Segure Socket Layer (SSL). El comienzo de la dirección URL mostrado en la barra de dirección de un navegador de la web revela qué tipo de conexión se ha establecido. Si la dirección comienza con “http”, la conexión es estándar y no codificada. Si comienza con “https”, la conexión entre el usuario y el sitio web se encuentra codificada.

Sin embargo, la mayoría de los usuarios no se molestan en escribir “https” porque confían en que la web les redirigirá hacia una conexión segura cuando sea necesario. “La gente tiende a acceder a los protocolos de seguridad sólo a través de los protocolos inseguros”, asegura Marlinspike.

El investigador ha desarrollado una herramienta de software llamado sslstrip que interfiere con una web cuando ésta intenta dirigir al usuario hacia un canal de comunicación segura. Sslstrip puede utilizarse cuando un atacante se ha infiltrado en la red para observar el tráfico buscando elementos que podrían redirigir al usuario a una conexión segura – por ejemplo, un botón de acceso que enlaza con un “https”. Cuando la herramienta ve esta información, elimina el enlace de la página segura y lo reemplaza por uno inseguro. La aplicación se encuentra entre el usuario y el servidor del sitio web, enviando información de un lado a otro. Pero antes de enviarla al servidor, la codifica para que éste no detecte que algo va mal.

Marlinspike admite que algunos usuarios podrían notarlo porque en ocasiones los navegadores muestran que una conexión está codificada situando un candado en la esquina y en este caso el candado no estaría. Sin embargo, el investigador señala que muchas webs tienen elementos de diseño confusos que podrían hacer fácilmente que los usuarios piensen que la conexión es segura cuando en realidad no lo es. Por ejemplo, algunas muestran el icono del candado en la ventana de inicio e informan al usuario de que el enlace debería llevar a una página codificada. Otras, como las de los bancos, tampoco indican que van a pasar a una conexión codificada, por lo que lo muchas veces el usuario ni siquiera se da cuenta de que algo no funciona bien. Marlinspike mostró incluso varias maneras de ataque aún más secreto mediante la creación de un enlace codificado con el usuario.

Marlinspike probó el sslstrip recolectando datos de Tor, una red abierta y accesible para convertir en anónimo el tráfico de la web. A lo largo de 24 horas, recolectó los detalles de registro de 117 cuentas e-mail, 16 tarjetas de crédito, 7 registros de PayPal y otros 300 anuncios que se suponían seguros. El investigador controló el proceso para ver si alguien se mostraba reacio a utilizar una conexión no segura, pero nadie lo hizo.

Dan Kaminsky, un investigador de seguridad muy reconocido y director de pruebas de penetración de la empresa de seguridad IOActive, con sede en Seattle (Estados Unidos), explica que Marlinspike ha explotado varios problemas que se conocen desde hace ya varios años. “No es que esos problemas vayan a desaparecer”, asegura Kaminsky, “y eso es lo que importa” prosigue.

Según Kaminsky, el problema no tiene que ver con los navegadores, los dueños de los sitios web o los usuarios. “Lo que estamos haciendo no funciona”, afirma. “Creo que nos falta una parte importante de la infraestructura necesaria para hacer seguro internet”.

Kaminsky propone otra manera de añadir un nuevo filtro de seguridad a internet, introduciendo un nuevo protocolo de seguridad llamado DNSSEC para enlazar los servidores web a los nombres de dominio. El investigador de IOActive cree que DNSSEC podría configurarse de manera que enseñe a los navegadores a conectarse a determinados sitios utilizando únicamente una conexión “https”.

Marlinspike, por su parte, duda mucho de que un cambio tan grande de la estructura de la web pueda funcionar. También aclara que los dueños de los sitios web podrían hacer cambios de diseño para ayudar a marcar una diferencia más notoria entre una conexión segura y una no segura. En última instancia, sin embargo, él cree que será difícil encontrar una solución adecuada mientras la mayor parte del tráfico de internet siga enviándose de manera no segura.