Tecnología

No tenemos protección contra Firesheep

Desde que la extensión Firesheep -que permite hackear Facebook y Twitter– fuera lanzada hace unas semanas, los usuarios han prestado más atención a las vulnerabilidades de seguridad que pueden ocurrir mientras se accede a Internet vía redes Wi-Fi no protegidas. De hecho, el propio desarrollador de la extensión, Eric Butler, aseguró, ya en el momento del lanzamiento, que ése era su objetivo.

La puesta en marcha de Firesheep ha logrado que se desarrollen varias medidas de protección, aunque la mayoría de estas funcionan como advertencia de riesgo y no como un bloqueo real para detener los posibles hackeos. Blacksheep, lanzado por Zscaler a principios de esta semana, genera “tráfico falso” y monitoriza la red para ver si hay algún Firesheep activo.

Pero esta solución sólo avisa al usuario, con lo que las opciones que éste tiene son básicamente dejar de usar Internet o ir a otra cafetería que también tenga Wi-Fi gratis.

HTTPS Everywhere

Si el objetivo del Firesheep de Butler era el de exponer las vulnerabilidades de la mayoría de los principales sitios Web debido a los cookies sin encriptar, y si la solución es la de Blacksheep -que es como poner una tirita para detener una hemorragia-, entonces de momento estamos ante una oportunidad perdida. Según el propio Butler, “la única solución efectiva es una encriptación completa end-to-end, conocida en la Web como HTTPS o SSL”. Ese es el argumento que diferentes grupos, EFF entre ellos, han estado defendiendo desde hace un tiempo. En lugar de extensiones de alerta o de redes Wi-Fi encriptadas, la respuesta pasa por implementar HTTPS a través de todo Internet.

Estamos acostumbrados a utilizar inicios de sesión HTTPS para realizar nuestras transacciones financieras online, Gmail llevó a cabo el cambio a HTTPS en enero y como respuesta a Firesheep, otros servicios han comenzado a establecerlo, Hotmail y GitHub lo agregaron como opción a principios de esta semana.

Pero muchos de los principales sitios en los que se requiere iniciar sesión, como Facebook, Yahoo y Twitter, no lo han hecho todavía

El grupo sin ánimo de lucro, Access, ha lanzado una campaña para atraer la atención a este problema, argumentando que HTTPS debería  de ser el “estándar de la industria”.

De momento se puede instalar la extensión de EFF HTTPS Everywhere en tu Firefox, que automáticamente exigirá una conexión segura.

Foto oveja por Micia; Foto fuego por huibidos

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.