S de seguridad

Afirma el Navegante de El Mundo que las páginas web http no son seguras y que en su lugar debemos acudir a páginas https. Es cierto que el https es la versión segura del protocolo http (la información viaja por la red cifrada) pero es engañoso y peligroso afirmar con tanta rotundidad la invulnerabilidad de ese tipo de conexiones.

“Con esa 's', ha afirmado [Víctor Domingo], hay un 99,9% de posibilidades de que la página 'web' sea segura”.

Ignoro de donde han sacado ese 99,9% pero suena a la típica rechifla comercial de los nueves. Y ya he visto demasiados de esos nueves fallar para creerme esos cuentos.

Si bien la desencriptación de una conexión https es lo suficientemente costosa para no comprometer este tipo de conexiones, la seguridad de las mismas puede ser burlada durante la negociación.

Como no es mi intención aburrir a nadie entrando en detalle, recurriré a un ejemplo que ilustre el problema.

Supongamos que yo tengo un maravilloso router wifi sin contraseñas ni filtrado mac (obviemos que WEP es especialmente inseguro) al que cualquiera en un radio de 100 metros puede conectarse. Da la casualidad de que uno de mis vecinos, poco escrupuloso, acostumbra a conectarse de extranjis a través de mi conexión. En este caso, sería relativamente fácil para mí realizar lo que se denomina un ataque “man-in-the-middle”. Podría capturar la conexión negociando la sesión SSL con mi vecino y estableciendo otro túnel cifrado con la entidad bancaria. De esta forma, ambos verían una conexión segura pero en medio podría estar yo leyendo e incluso modificando toda la información entre ambos.

Si bien el proceso no es trivial se podría llevar a cabo de diversas formas y en diferentes entornos dando como resultado en este caso, que el timador fuese timado. Y es que si bien las conexiones punto a punto de las lineas telefónicas nos aportan cierto grado extra de seguridad (siempre en manos de nuestro ISP) algunos suspiramos pensando en el cercano día en que los netócratas expandan una inmensa red pública inalámbrica cibersocial y, eso sí, repleta de agujeros.

Y es que las redes nunca dejaran de estar plagadas de caballos de Troya cargados de valientes héroes por muchas "eses", "nueves" o "cibers" que se insista en poner.