“¿Pagar por algo que puedes obtener de manera gratuita? ”
“Total, lo hace todo el mundo…”
“Yo soy más espabilado que mi vecino, el tonto paga su cuota de Internet todos los meses, pringao…”
Son las típicas frases que el listillo de turno en cada despacho, reunión entre amigos, cervecería de barrio … suele soltar demostrando y sentiéndose orgulloso de lo que hace delante de todo el mundo. Pues bien, que sepas que cualquier día de estos amigo mío tú puedes ser víctima de tus propias trampas.
Cuando te conectas a Internet la información puede viajar de manera transparente y accesible por cualquier nodo intermedio, o encriptada a través de la red a la que estás conectado. Muchos sitios web que manejan información sensible ya se han preocupado de blindar sus servicios web para que nadie puede interceptar esta información, pero hay muchos otros servicios, redes sociales tan populares como Facebook, Dropbox, Twitter, WordPress que sí tienen en cuenta la seguridad cuando realizamos el proceso de login, pero el resto de la sesión se ve comprometida a un único identificador de sesión que cualquier otra persona con los conocimientos de red suficientes puede capturar y reutilizar para suplantar nuestra identidad y violar nuestra intimidad (como mínimo).
Ahora que ya os he metido el susto en el cuerpo, os presento a Firesheep. Una pequeña extensión para firefox que se encarga de facilitar esta tarea a cualquier ser humano con dos dedos de frente y desde luego, ganas de entrometerse en lo ajeno. Tan simple como iniciarlo la captura de paquetes, y empezar a ver sesiones de nuestras víctimas listas para ser suplantadas sin ningún tipo de conocimiento técnico. (Yo mismo he podido reproducirlo dentro de mi propia red)
Pero entonces ¿hay alguna solución?
Desde luego que las hay, y tendremos que tener en cuenta el sentido común también. Desde luego, tendremos que aplicar esto siempre y cuando estemos conectándonos a una red de la cual desconocemos su origen, como la del vecino. En segundo lugar evitar conectarnos a páginas que no utilicen el protocolo seguro HTTPS (se distinguen por el icono del candado en la barra de direcciones). Y tercero, si realmente necesitamos conectarnos, podemos hacer uso de algún VPN, el cual se encarga de enmascarar toda la información que sale de nuestro ordenador a una red privada virtual externa a la WIFI que estamos utilizando como pasarela. Podéis encontrar algunas gratuitas y otras de pago en la siguiente página.
Como conclusión, andad con cuidado y no os paséis de listos. Siempre habrá alguien más listo que tú esperando pacientemente ;-)
Foto cortesía de Florian con licencia Creative Commons.
Related posts:
Ojo que las https también se pueden falsificar. El proxy que se pone enmedio genera una firma SSL propia para el acceso a webs HTTPS. Es decir si accedemos a una web en la que normalmente no se nos pide confirmar el certificado SSL y al conectarnos a una Wifi abierta SÍ que nos pide aceptar el certificado cuidadín porque nos pueden estar metiendo un certificado SSL falso y aunque veamos el candadito el proxy intermedio está viendo toodo nuestro tráfico.
Otro añadido, muchos bancos ofrecen la página principal SIN HTTPS aunque tienen un iframe con HTTPS y por lo tanto nuestra clave no irá en claro. Mediante este pequeña diferencia nos la pueden meter doblada si el router wifi en cuestión utiliza un servidor DNS comprometido por lo que la supuesta página inicial de nuestro banco puede no ser la web de nuestro banco y clavarnoslá cuando le demos a enviar nuestro usuario y clave.
Resumiendo wifis abiertas para ver temas no relacionados con usuario y clave adelante. Para temas con usuario y clave acceder *DIRECTAMENTE* escribiendo en la url https://www.mibanco.es y ojito con la confirmación de certificados que ahí también la pueden liar.
que miedo de verdad!! Ahora no entro en ningún wifi! Si hasta pueden entrar en el wordpress!!