Ahora cualquiera puede robar tu cuenta de Facebook y Twitter. Cómo protegerse

 

Como posiblemente ya sabés, acaba de salir una extensión (o agregado) para Firefox llamada Firesheep que facilita el robo de los paquetes de datos de Internet, la suplantación de cookies y, con esto, el secuestro se sesión. Dicho fácil: ahora casi cualquier persona puede robar cuentas de Facebook, Twitter, Hotmail, Amazon y así.

¿Cómo protegerse? Aquí van algunas claves y un par de extensiones para Firefox que fuerzan la comunicación segura de datos entre tu computadora y los sitios.

El problema, para ser completamente justos, no es Firesheep sino la falta de seguridad en muchos de los sitios más populares de Internet. De hecho, la técnica que usa Firesheep es tan vieja como las redes y se llama packet sniffing o captura de paquetes o análisis de paquetes. Se puede hacer en redes cableadas o inalámbricas y es una técnica de diagnóstico que puede usarse para robar datos; he advertido en numerosas ocasiones sobre esto. Ahora, sencillamente, la situación ha empeorado.

La vulnerabilidad que expone Firesheep es que la transmisión de datos entre nuestras computadoras y sitios inmensamente populares, como Facebook y Twitter, no está encriptada todo el tiempo. Sólo en el momento de registrarnos (el login) se usa la conexión segura o HTTPS. Después, ya no. Por lo tanto, las cookies pueden capturarse y usarse para suplantar nuestra identidad ante el sitio. (A propósito, en sites que sí encriptan todo el tiempo la solución está a veces mal implementada y también ahí pueden robarse las cookies.) En total, si alguien obtiene la cookie que Facebook usa para reconocerte podrá hacerse pasar por vos frente a la red social, entrar en tu cuenta, cambiarle la contraseña y adiós, la perdiste. Con Firesheep esto se hace con un doble clic, así de fácil.

Hasta ahora, la captura de paquetes y el robo de cookies era algo reservado a los usuarios muy avanzados. Firesheep ha puesto esta técnica al alcance de casi cualquier persona. Su creador asegura que lo hizo para llamar la atención sobre la crisis de seguridad que existe en Internet. Opinable, por lo menos. ¿Hace falta poner en un peligro mayor a millones de usuarios para que de una vez los sitios que requieren registro usen HTTPS todo el tiempo? ¿O es peor el remedio que la enfermedad? Me gustaría saber qué piensan sobre esto, es un tema extremadamente delicado. Por ejemplo, las soluciones que presento aquí fueron planteadas por el mismo Eric Butler, autor de Firesheep.

Clave: No uses sitios que requieren loguearse en WiFis públicos que no te piden contraseña. Si no queda más remedio, deberías forzar el uso de conexiones encriptadas durante toda la sesión. Facebook y Twitter, por ejemplo, permiten esta práctica, pero no la usan de forma predeterminada (al revés que, por ejemplo, Gmail). Para usar siempre conexiones encriptadas en esos sitios, a continuación van dos extensiones para Firefox.

HTTPS Everywhere

Este agregado fue creado por la Electronic Frontier Foundation. Tiene la contra de que se limita a sólo algunos servicios (Google Search, Wikipedia, Facebook, Twitter, WordPress y otros). A su favor está que proviene de una respetada y bien establecida organización.

HTTPS Everywhere

HTTPS Everywhere

Force-TLS

Esta extensión permite configurar los sitios en los que queremos forzar la conexión segura. Por supuesto, el servicio tiene que dar soporte a sesiones seguras.

Force-TLS

Force-TLS

Ninguna de estas dos herramientas te garantiza al 100% que no vayas a ser víctima de alguien que está usando Firesheep, pero son mejor que nada. Como digo siempre, confiar la seguridad sólo al software puede darnos una falsa sensación de invulnerabilidad. Para que te des una idea, el Firesheep ya fue descargado mas de 200.000 veces.

Otras formas de protegerse son las VPN y los proxy seguros (SSL/TLS). Ambas cosas suenan extravagantes para el resto de nosotros. Así que de momento, esta situación debería ayudarnos a abrir los ojos y darnos cuenta de que cuando usamos un Wi-Fi público que no exige contraseña (confitería, hotel, aeropuerto, etc.) estamos poniendo en el aire nuestros datos personales y muchos sitios no los protegen adecuadamente. Cuidado, entonces. Si tenemos Wi-Fi en casa, hay que protegerlo debidamente.

Para los que quieran ahondar en el asunto, hay un buen artículo (en inglés) hoy en Boing Boing.

  • jgamigo

    Yo soy más de la idea de que siempre debe comenzarse con una acción moderada y que no exponga a quien no tiene la capacidad de defenderse y si, quien tiene la capacidad de remediarlo no lo hace, actuar de una manera un poco más enérgica (que no siempre implica dejar mas desvalido al desvalido). A la larga, es una cuestión estadística, nunca se deben aumentar las probabilidades de daño y aunque todos tenemos derecho a saber como se nos puede afectar no se DEBE hacer fomentándolo. Aunque suene feo, a veces la ignorancia es la mejor defensa. En estos casos es muy difícil separar la búsqueda del bien común del “minuto de fama”. Pero es sabido que cuando una herramienta puede ser “mal usada” las personas con tiempo disponible (con mucho afán de diversión y poca responsabilidad) empiezan a surgir de cualquier lado como hongos.

  • jonathan

    Hay algun soft para encriptar la navegación en Chrome??

  • Ariel Torres

    Jonathan: El KB SSL Enforcer (https://chrome.google.com/extensions/detail/flcpelgcagfhfoegekianiofphddckof) pero no lo recomiendo, porque pasa primero por HTTP antes de ir a HTTPS.
    @

  • mjlardi

    Me parece peor el remedio que la enfermedad. ¿El fin justifica los medios?

  • caracal

    ¿O es peor el remedio que la enfermedad? A mi me parece perfecto, cosas como estas FUERZAN a las empresas mejorar sus productos. Hace algunos años en la lista de correo bug-traq un usuario encontró que si ponías más de 128 caracteres en el campo password de los router cisco se producía un overflow y ganabas acceso de administrador. Esta persona en cuestión lo reportó a Cisco y le contestaron que “nadie usaba passwords de 129 caracteres”. El mail enviado a cisco Y la contestación de cisco se publicó en bugtraq, al otro día se empezaron a caer router ciscos por toda la red y dos días después Cisco sacó un parche.

    ¿Cuánto les puede tomar a facebook o Twitter cambiar de HTTP a HTTPS? Sin aplicaciones como estas quizás nunca lo hubiesen hecho.

  • Patricia

    ¿Alguien conoce o ha usado el Postcron o el Laterbro?¿recomendaciones?
    Gracias

  • Pingback: La iniciativa fue aprobada el miércoles pasado por la Cámara baja y enviada al Senado donde este martes será discutida en un plenario de las comisiones de Economía Nacional e Inversión y Presupuesto y Hacienda. La reunión se llevará a cabo desde la()

  • Pingback: La epidemia del robo de mail y cómo evitarla | Nororeste Clasificados()

  • Pingback: NUEVOS AIRES INFORMÁTICA PRIMERO Y SEGUNDO()

  • Juan Corroppoli

    Me hace acordar a Duro de Matar 4.

    Es decir que los que primeros están en la línea de fuego son las notebooks y portátiles que se conecten vía Wi-Fi. Entiendo que el plugin chequea redes inalámbricas, verdad?
    Qué pasa con PCs que se conectan vía cable? primero tienen que hallar una manera de entrar a la red?

    Pequeño debate genera el muchacho. No termino de decidir mi postura. Me inclino más a creer que hizo lo correcto.
    Creo como dice él, que de otra forma no harían caso. Lo que hizo es parecido las advertencias de los vulcanólogos, cuando un volcán está a punto de entrar en erupción, pero si mapeamos su forma de actuar… es más o menos como si el vulcanólogo comenzara a hacer cosas (si es que puede) para hacer que el volcán haga erupción, efectivamente.

    Medio fantasiosa mi comparación.

    El tema es que poner a tantos usuarios en peligro por probar algo… es delicado. No creo que se pueda reaccionar tan rápido contra eso.
    Lo que si creo es que los de Mozilla podrían deshabilitar el uso de ese plugin y similares, ya que es evidente el riesgo que supone.