Si usted utiliza con frecuencia redes Wi-Fi no seguras debería saber que cualquier persona conectada a la misma red puede robar sus credenciales de acceso a esos sitios.
Aún si esos potenciales husmeadores no tienen conocimiento técnico; desde hace dos semanas basta con instalar un aditamento para Firefox llamado Firesheep, presionar un botón y esperar unos minutos para obtener un listado de credenciales de acceso de otros usuarios a sitios como Facebook, Twitter, Flickr e incluso Google y Amazon.
Butler hace un enérgico llamado de atención
Eric Butler, quien creó la extensión para robar credenciales de portales famosos y la presentó a finales de octubre en la conferencia de hackers y seguridad informática ToorCon de San Diego, no es un anarquista cibernético.
Al contrario: el desarrollador de software y aplicaciones lleva años abogando por que se haga algo para corregir uno de los mayores agujeros de seguridad en las redes Wi-Fi públicas. El problema consiste en que los ordenadores conectados a estas redes envían las credenciales necesarias para conectarse a Facebook, Twitter, Google y otros miles de servicios a través del aire, y cualquier otro equipo conectado a la red puede detectarlas.
Con la esperanza de que este problema al fin sea tomado en serio por los grandes desarrolladores de la Red, Butler creó Firesheep: un aditamento para Firefox que está pendiente de estas transferencias y, cuando descubre una, la almacena y muestra un recuadro con el nombre de la víctima y el logotipo del portal al que accedió.
En adelante bastará con hacer clic sobre el recuadro para acceder a ese portal suplantando a la víctima.
¿Cuán implementable es SSL?
La tecnología que podría evitar que sus credenciales sean robadas por cualquier persona en la misma red Wi-Fi pública a la que esté conectado se llama SSL o HTTP Seguro: un protocolo de transferencia de información encriptada.
Pero hay malas noticias. Usar SSL no depende de usted, sino de las compañías que desarrollan los portales y servicios que usted utiliza. Las mismas empresas que hasta hoy han preferido dejar de lado la tecnología porque, como es fácil de suponer, procesar datos encriptados eleva los costos de funcionamiento de sus servidores y aumenta el tiempo de carga de sus páginas.
A estos problemas responde Chris Palmer, encargado de la tecnología de administración segura de sesión para aplicaciones Web en la firma iSEC Partners, quien ha trabajado en el pasado con Gmail y Yahoo!.
En un documento llamado “Bajo costo, alto rendimiento, seguridad fuerte: elija hasta tres” Palmer afirma que las empresas no tienen que multiplicar sus costos de procesamiento implementando un sistema de seguridad paranoico; basta con usar SSL de forma inteligente para incrementar la seguridad a un nivel aceptable sin incurrir en grandes sobrecostos.
En cuanto al tiempo de carga de sus portales Palmer sugiere que la mayoría de portales tiene varias áreas susceptibles de optimización que compensarían la demora que el uso de SSL genera ineludiblemente.
Firesheep, inicialmente disponible para las versiones de Firefox en Windows y Mac OS X y que ahora también funciona con su versión para Linux, ha sido descargado por más de 622 mil personas.
Como Gary LosHuertos, un blogero que usó la herramienta para acceder a la cuenta de Amazon de otro cliente en un local de Sarbucks y luego dejar un mensaje de Facebook desde su propia cuenta, con un listado de los últimos artículos que había comprado.
Este número de usuarios ahora conscientes del peligro que corren sus credenciales digitales parece haber resonado más que los argumentos de los expertos en implementación de SSL en las oficinas de seguridad de los mayores servicios de la Red.
Esta semana Twitter contactó a la periodista Kashmir Hill de la revista Forbes para declarar que “Dar a los usuarios una experiencia segura en Twitter es increíblemente importante para nosotros. En el momento exploramos caminos para aumentar la seguridad de los usuarios en este aspecto”.
La periodista también habló con empleados de Facebook que aseguraron que los ingenieros del sitio ya trabajan para implementar SSL.
Microsoft tuvo una de las respuestas más rápidas: la empresa anunció que antes del final del mes Hotmail utilizará SSL, aunque inicialmente será una opción y no estará activada por defecto.
![]()
Reacción positiva inducida
