Skip to main content

HTTPS no siempre es seguro: descubren vulnerabilidades que exponen datos

HTTPS
-

29/03/2019 - 19:04

Un equipo de investigadores ha descubierto que el cifrado del protocolo web HTTPS no siempre es seguro: mediante un estudio han detectado fallos de seguridad que exponen datos de los usuarios.

Desde hace varios años, Google ha incentivado la adopción del protocolo HTTPS (Hyper Text Transfer Protocol Secure, Protocolo Seguro de Transferencia de Hipertexto en español). Se trata de un protocolo web que mejora la seguridad del HTTP convencional, debido a que utiliza un cifrado basado en SSL/TLS para el tráfico entre el cliente y el servidor. Gracias a esto, en caso de que un atacante intercepte los datos no podrá descifrarlos, lo que reduce el riesgo de ataques de tipo Man-in-the-Middle y eavesdropping.

Por este motivo, en la actualidad buena parte de los sitios web que visitamos a diario ya han adoptado el protocolo HTTPS. Google penaliza a las páginas que todavía no lo usan, y la mayor parte de los navegadores muestran una alerta que advierte que la página no es segura en caso de que siga utilizando HTTP.

No obstante, el cifrado del protocolo HTTPS no es tan seguro como puede parecer a priori. Así lo demuestra un estudio que ha llevado a cabo un equipo de investigadores de la Universidad de Venecia Ca' Foscari (Italia) y de la Universidad Técnica de Viena (Austria), cuyos resultados revelan que hay sitios web cifrados exponen los datos de los usuarios. 

En su investigación, el equipo ha analizado los 10.000 sitios web de mayor relevancia recogidos por el ranking Alexa de Amazon. De todos ellos, el 5,5% (es decir, 550 de los portales más populares y visitados del mundo) presenta vulnerabilidades TSL (Transport Layer Security, el protocolo criptográfico que utiliza HTTPS para cifrar la comunicación). 

Estos fallos de seguridad podrían permitir que un atacante extraiga información y manipule los datos que se transfieren entre el navegador y el servidor web, lo que se conoce como ataque Man-in-the-Middle. 

Protege tu ordenador con McAfee Total Protection, el antivirus más vendido de Amazon España

Los investigadores señalan que lo verdaderamente preocupante no son estas 550 páginas con vulnerabilidades, sino su interconexión con muchas otras webs con las que se comunican. "Cuando tienes dominios relacionados entre sí, se pueden compartir datos confidenciales, lo que significa que cuando uno de los hotst es débil, la vulnerabilidad puede propagarse", afirma uno de los miembros del equipo. 

Por este motivo, para garantizar la seguridad en la navegación es importante que los desarrolladores revisen sus sitios web y comprueben que no cuentan con vulnerabilidades en la implementación del protocolo criptográfico TLS

Más:

#Seguridad