Firesheep, el complemento para Firefox, ha generado todo un revuelo informativo en este inicio de semana, que si nos paramos a pensar en el tema, la preocupación es bastante lógica. Con dicho complemento, cualquiera puede entrar en la cuenta de Facebook, WordPress o Twitter de otras personas que estén conectadas a un mismo punto de acceso wi-fi, mediante una captura del tráfico cursado. Las alarmas han saltado porque es muy habitual en eventos, o en algunos hoteles, encontrar redes abiertas, por lo que sería sencillo capturar datos de los usuarios para después suplantarlos. No obstante, este tipo de cosas nos hacen pensar en cómo mejorar nuestra configuración de seguridad y en cómo ponérselo más difícil a los "amigos de lo ajeno 2.0".
El problema fundamental de las redes públicas, cableadas o inalámbricas, es la facilidad con la que alguien puede ponerse a capturar paquetes de tráfico. La mayor parte de las veces accedemos a sitios en los que usuario y contraseña viajan sin cifrar, por lo que cualquiera podría capturarlos. De hecho, es muy habitual usar los protocolos de correo IMAP o POP en los gestores de correo electrónico, en los que las contraseñas viajan sin cifrar. ¿Qué podemos hacer para mejorar la seguridad de nuestra navegación?
Para empezar, y saltándome un poco mi propia pregunta, voy a detenerme en el correo electrónico. Alguna vez he visto a alguien con algo de tiempo libre, jugar con el wireshark en la oficina y sacar la contraseña del correo de algún compañero. Teniendo en cuenta que cada vez es más habitual tener disponible el IMAP-SSL (IMAPS) y el POP-SSL (POPS) en los servidores de correo, sería conveniente cambiar nuestra configuración y pasarnos a estas conexiones SSL en las que la comunicación es totalmente encriptada. De esa manera, en cualquier red pública evitaremos que alguien pueda obtener nuestro usuario y nuestra contraseña del correo electrónico, llave, si así lo hemos querido, a nuestros perfiles en Facebook o Twitter.
El uso del SSL es la clave; Facebook, Twitter o Gmail son aplicaciones que tienen disponible conexión vía SSL, por lo que podríamos usarla para securizar nuestras visitas a estas redes sociales. Existen un par de extensiones de Firefox que nos pueden ayudar, y es curioso que para luchar contra una extensión usemos otra extensión también. Force-TLS y HTTPS-Everywhere son dos extensiones que fuerzan a Firefox a utilizar HTTPS en los sitios que definamos en las preferencias (Facebook, Twitter, Gmail, PayPal, etc) ecriptando toda la comunicación y evitando que nuestro usuario y nuestra password estén accesibles. ¿Y si Facebook o Twitter funcionan en SSL por qué no lo hacen así por defecto?, pues por una cuestión de tiempo, la comunicación es menos pesada estando sin cifrar que estando cifrada.
Alguna vez, si he tenido que trabajar estando fuera de mi casa, me he conectado a alguna que otra red inalámbrica abierta (un evento, un viaje, etc). En esos casos, aprovechando que tenía el portátil del trabajo, para securizar la navegación he utilizado el cliente de VPN de mi equipo, ya que toda la conexión era cifrada mediante IPSec. Si bien la navegación era algo más lenta (porque el tráfico pasaba por la oficina), sí que garantizaba que no íbamos a encontrar a nadie más escuchando por el camino.
Todo lo que podamos pasar a SSL se lo pondrá más dificil (por no decir imposible) a los "amigos de lo ajeno 2.0", esos que juegan con wireshark para caputar y conocer determinados datos sensibles. La prevención evita más de un disgusto.
Vía y Foto: TechCrunch | Fotos: Olx y TechCrunch
