Desaconsejan confianza a ciegas en el candado de SSL

by | Feb 25, 2009 | Profesional | 0 comments

SSL (Secure Socket Layer), el sistema más usado en el mundo para el cifrado de datos transmitidos vía redes informáticas, ya no es totalmente seguro. Hacker ha logrado vulnerarlo con una combinación de ingeniería social y software.

En el marco de la conferencia Black Hat, realizada en Washington DC, Estados Unidos, el hacker Moxie Marlinspike demostró la forma en que un software, combinado con técnicas de phishing (en que se induce a un usuario a acceder a un sitio adulterado), hace posible acceder subrepticiamente al sistema SSL.

El hacker demostró además un procedimiento que le permitió apoderarse de 16 números de tarjetas de crédito, acceder a 117 cuentas de Gmail e ingresar a 300 otras áreas cifradas de Internet.

Esto significa, en los hechos, que el símbolo del candado que parece en el extremo inferior derecho del navegador cuando el usuario se conecta a un sitio seguro con dirección https ha dejado de ser seguro.

Marlinspike usó el programa gratuito “SSL Strip”, instalándolo como “unidad intermedia” entre la conexión SSL y el usuario, rompiendo así la cadena de seguridad de la cual hasta ahora han dependido los pagos seguros en línea.

Las direcciones de sitios corrientes comienzan con “http”, en tanto que las páginas que transportan información cifrada comienzan con “https”, donde la letra “s” significa “seguridad”. Al usar una página https falsa, Marlinspike engañó al usuario, haciéndole creer que se estaba conectando a una página segura.

El hacker aseguró en la conferencia haber usado las páginas del sitio de pagos PayPal para obtener la información del caso. Aparte de ello habría usado Facebook, Gmail y sitio de venta de billetes Ticketmaster.

Marlinspike aseguró haberse apropiado mediante estos sitios de la información de los usuarios, lo que le permitió a acceder a 117 cuentas de correo electrónico Gmail.

Fuente: ITPro.co.uk
Fuente ilustración: secure-travel.co.uk y DiarioTi

GRATIS – Plan de cyberseguridad para su empresa: Aquí

Obtenga nuestro portfolio de servicios: Aquí

Suscríbase a nuestro Newsletter: Aquí

Realiza su consulta cómo proteger su Negocio: Aquí

Informe a sus colegas del area de tecnología

Comparte esta información con colegas y superiores

Guarda este post para consultas

Descargue las Tendencias de cyberseguridad: Aquí

Suscribirse a nuestro canal de YouTube: Aquí

Descargue nuestras infografías: Aquí

Conozca la opinión de nuestros clientes: Aquí

Acceda a Cursos Online de entrenamiento en seguridad informática: Aquí