HTTPS no es seguro y puede ser usado para robar datos bancarios

Hasta ahora, habíamos puesto toda nuestra confianza en el protocolo HTTPS debido a que, creíamos, nos protegía a la hora de realizar operaciones sensibles por Internet. De hecho, esta capa se encarga de imponer un cifrado que, aparentemente, evita que terceras personas puedan leer los contenidos que se están enviando y recibiendo. Lo malo es que recientemente se ha descubierto una vulnerabilidad que hace que HTTPS sea vulnerable a algunos tipos de ataques.

El ataque HEIST se refiere a la información intercambiada en HTTP cifrado, aunque la misma puede ser robada en paquetes TCP. Solo sería necesario implementar un script en la página de inicio de sesión para que, al introducir el nombre de usuario y contraseña, el propio código se encargue de enviar pequeños paquetes e informar acerca de la longitud de la información intercambiada entre los servidores. Aunque los datos seguirían estando cifrados, se conocería el dato final aleatorio y el peso de la información, resultando muy fácil robar datos bancarios, entre otra información.

Los investigadores que han podido conocer esta vulnerabilidad han indicado que no todas las formas de HTTPS son totalmente vulnerables. De hecho, el protocolo HTTP/2 necesita ejecutar el ataque de manera más rápida debido a que soporta las solicitudes paralelas de forma nativa.

Según los expertos en seguridad informática, la única forma de protegerse respecto de este ataque es deshabilitar las cookies de terceros y la ejecución de JavaScript. Recordad, en todo caso, que esto también podría provocar problemas en la navegación, incluyendo la imposibilidad de acceder a algunos contenidos.

Por el momento, HTTPS seguirá siendo vulnerable. En todo caso, es de esperar que próximamente se ponga en marcha un parche que consiga solucionar el problema.

Vía | TechWorm
Imagen | Wikimedia Commons – Sean MacEntee

Seguridad #https