Hypertext Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es un protocolo de aplicación basado en el protocolo HTTP, destinado a la transferencia segura de datos de Hipertexto, es decir, es la versión segura de HTTP. Es utilizado principalmente por entidades bancarias, tiendas en línea, y cualquier tipo de servicio que requiera el envío de datos personales y/o contraseñas.

Como funciona HTTPS?

La página Web codifica la sesión con certificado digital. De este modo, el usuario tiene ciertas garantías de que la información que envíe desde dicha página no podrá ser interceptada y utilizada por terceros.

Estos certificados de seguridad son conocidos como SSL. Cuando estos estás instalados en la página Web veremos el candado del que hablábamos anteriormente. Por otro lado, si están instalados Certificados de Validación Extendida, los usuarios, además del candado, podremos ver que la barra de URL’s del navegador toma un fondo verdoso.

Cuales han sido las principales vulnerabilidades detectadas a HTTPS?

Los ataques al protocolo HTTPS vienen en incremento en los últimos 5 años, debido al auge de la implementación de servicios web transaccionales, como las compras y los pagos en línea. Esto se ha descrito en diferentes eventos y documentos recientes:

  • El punto más débil de HTTPS son los certificados. Si, por ejemplo, alguien roba el certificado (con la clave privada) de Google, podría crear un servidor falso sin que hubiese forma de distinguirlo de uno legítimo.
  • Un problema más grande puede ocurrir si se filtra la clave privada de una CA. Un atacante podría crear y firmar certificados válidos para cualquier dominio sin que nadie se lo impidiese, y por lo tanto engañar a los usuarios para que se conectasen a servidores falsos.
  • HTTPS es vulnerable cuando se aplica a contenido estático de publicación disponible. El sitio entero puede ser indexado usando una araña web, y la URL del recurso cifrado puede ser adivinada conociendo solamente el tamaño de la petición/respuesta, permitiendo al atacante tener acceso al texto plano o contenido estático de la publicación, y al texto cifrado que es la versión cifrada del contenido estático, permitiendo un ataque criptográfico.
  • Se han documentado vulnerabilidades, como la denominada FREAK attack, siendo “FREAK” un acrónimo de “Factoring RSA Export Keys”. Los investigadores descubrieron que eran capaces de lanzar un ataque desde sitios aparentemente seguros, pertenecientes a una variedad de organizaciones que va desde entidades gubernamentales de Estados Unidos como la propia Casa Blanca hasta bancos. De esta forma, se obligaba a los navegadores a usar una técnica de cifrado notablemente más débil, lo que habilita el robo de información personal que estos alojan, como credenciales de acceso a servicios web.
  • Una reciente investigación realizada por las universidades de Illinois, Londres y Eindhoven ha sacado a la luz una debilidad en RC4, un algoritmo de cifrado que suele ser utilizado para asegurar las comunicaciones SSL/TLS que sustentan las páginas web, especialmente para transacciones monetarias y cuando se atraviesan redes no fiables.
  • En 2012, un estudio de la organización sin ánimo de lucro dedicado a seguridad de Internet y privacidad Trustworthy Internet Movement (TIM), reveló que el 90 por ciento de 200.000 sitios webs con seguridad HTTPS habilitada, son vulnerables a ataques sobre la capa de conexión segura SSL.
  • En la conferencia Black Hat USA 2013 se describió como con un ataque BREACH se puede obtener información sensible del texto cifrado HTTPS en menos de 30 segundos.
  • En 2015 la UNAM documenta un caso real que ejemplifica el mal uso de esta tecnología, en el artículo “Troyano Bancario Secuestra Conexiones SSL”.
  • A principios de 2016 se detectó un ataque llamado DROWN, que permitiría el acceso a contraseñas o números de tarjetas de crédito. La vulnerabilidad permite usar un protocolo de seguridad obsoleto, SSLv2, para atacar sitios webs modernos, suponiendo así una amenaza potencial para los datos de millones de usuarios y webs de todo el mundo.
  • Recientemente (2016), varios investigadores de seguridad han descubierto una forma de comprometer la seguridad del protocolo HTTPS en todo tipo de redes. Esta vulnerabilidad se debe a un abuso de la característica Web Proxy Autodiscovery Protocol (WPAD).
Anuncios