Una nueva vulnerabilidad accedería a cookies con tus datos

Tus datos incluidos en cookies corren riesgo de ser robados

El CERT es el Computer Emergency Response Team (CERT) del Software Engineering Institute (SEI). O lo que es lo mismo, el Equipo de Respuesta ante Emergencias Informáticas, responsables de detectar vulnerabilidades y riesgos en la seguridad informática.

Su última alerta advierte de una vulnerabilidad en la mayoría de los navegadores que utilizamos y según la cual corremos el peligro de que se acceda a nuestros datos personales mediante las "cookies".

El uso de las populares "cookies" trae consigo, además de algunas ventajas a la hora de navegar por sitios que ya hemos visitado anteriormente, un buen número de riesgos. Después de todo, contienen nuestra información personal.

Aunque en teoría, su contenido no es accesible a otro equipo (los datos circulan entre el servidor y el ordenador), sí se pueden interceptar en una sesión HTTP normal mediante el uso de un sniffer, una herramienta al alcance de cualquier usuario avanzado con malas intenciones.

Y esos datos, en el caso de HTTP, circulan en formato texto, legible para cualquiera. La solución más lógica para evitar este riesgo es el uso del protocolo HTTPS, el cual transmite la misma información pero cifrada. 

Detectado fallo de seguridad en VLC

Las normas que regulan el uso de las cookies están contenidas en el documento RFC 6265 del HTTP State Management Mechanism y datan de 2011. Y según advierte el CERT, la mayoría de navegadores web que se adhieren a estas normas tienen esta vulnerabilidad.

Las cookies solicitadas a través de HTTP pueden permitir a un atacante remoto "saltarse" el HTTPS y revelar información privada de la sesión.

¿Por qué utilizaría una web HTTP en lugar de HTTPS si éste protocolo es más seguro? Pues porque al ir cifrado el contenido, la cantidad de dados a transmitir es mayor. 

Según la página de CERT, la solución definitiva pasaría por una actualización futura de RFC 6265. Mientras tanto, el paso más lógico es mantener actualizado el navegador y confiar en que los administradores del website utilicen el protocolo de transporte seguro HSTS (RFC 6797) en los dominios de nivel superior y que usen la opción includeSubDomains.