Los sitios web con seguridad HTTPS son inseguros

Escrito por Adrián Crespo
Seguridad

Según los resultados de un estudio realizado por Trustworthy Internet Movement, más del noventa por ciento de los poco más de 200.000 sitios web en internet que cuentan con seguridad HTTPS, son totalmente vulnerables a ataques SSL, de acuerdo con el informe publicado por TIM.

Los datos obtenidos, forman parte de un nuevo proyecto llamado SSL Pulse, en el cual se utiliza  un nueva tecnología que proporciona un escaneo automatizado, y que está desarrollada por la empresa de seguridad Qualys, para llevar a cabo un estudio de la seguridad de estos sistemas de sguridad.

Esta tecnología, se encarga de analizar la fortaleza de las implementaciones HTTPS utilizadas en los diferentes sitios web. A continuación, detallamos el procedimiento por el cual, se comprueban los diferentes sitios web.

Antes de nada, para aquellos que no la conozcan, TIM se trata de una organización, cuya principal finalidad es la de tratar de resolver problemas relacionados con la seguridad, privacidad y confidencialidad en la red.

La herramienta desarrollada para llevar acabo este estudio revisa los protocolos que son soportados en sitios web que tienen activado HTTPS, es decir, SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, etc. y además, todas las posibles longitudes que pueden aplicarse para una comunicación segura, desde 512 bits, pasando por 1024, 2048, etc. . Para finalizar, la herramienta también es capaz de comprobar la fortaleza que poseen los algoritmos( de 256 bits, 128 o incluso menos).

Los resultados obtenidos son calificados por un filtro. La puntuación se recoge en una escala de 0 a 100, siendo una puntuación mayor que 80 un resultado “bueno”.

La mitad de los sitios obtienen una calificación superior 80 puntos

De los más de 200.000 sitios web que soportan HTTPS, más del 50% pasaron los 80 puntos en su calificación, lo que a simple vista, hace creer que se tratan de unos resultados buenos, con algoritmos fuertes y llaves largas. A pesar de estos resultados, el estudio ha demostrado, que sólo el 10% de los sitios web analizados son totalmente seguros. Este dato nos deriva en otro resultado, y es que aproximadamente el 75% de los sitios web analizados son considerados vulnerables al ataque conocido como BEAST.

Este tipo de ataque se vale de la desencriptación de las cookies de las solicitudes HTTPS, descifrando las peticiones HTTPS y atacando de forma directa la confidencialidad del protocolo.

Del estudio, también se encontró que, cerca del 13% de sitios web con la seguridad HTTPS activada, realizaban conexiones SSL inseguras.

¿Como evitar el ataque BEAST?

Los causantes de la facilidad para llevar acabo este ataque, fueron corregidos en el protocolo TLS, concretamente, en su versión 1.1. A pesar de esto, la mayoría de los servidores de seguridad continúan utilizando protocolos vulnerables, como el SSL 3.0, por el simple motivo de tener una mayor compatibilidad con sus antecesores.

Los servidores que implementan este sistema, pueden ser vulnerables a ataques SSL, que consisten en “engañar” al servidor, para que utilice versiones SSL/TLS que poseen mayores vulnerabilidades, siempre que el usuario posea dicha versión en su ordenador.

El desconocimiento del usuario, otro problema añadido

Tal y como se menciona en el informe obtenido, la mayoría de los navegadores modernos poseen la protección necesaria contra un ataque BEAST. Sin embargo, en el informa parece reflejado, que una proporción importante de empresas, aún continúa utilizando la versión 6 de Internet Explorer, versión que es vulnerable, ya que, es a partir de la versión 7 del navegador, cuando el problema de seguridad es resuelto.

Todo depende el número de usuarios

Para un sitio web de uso medio, el problema puede ser medianamente pequeño o inexistente. Sin embargo, las cosas cambian cuando estamos hablando de sitios web de entidades bancarias, donde el número de usuarios que relizan conexiones a diario es inmenso, y si a esto le añadimos las operaciones que se realizan, esto hace que sea necesario que exista un servidor de seguridad actualizado y seguro.

Como reflexión final, en el informe indican que a pesar de que un número suficiente de páginas, son más o menos seguras, no hay que dejarse engañar por lo resultados, ya que sólo el 15% presume de ser totalmente seguras.


Noticias relacionadas

Comentarios


17 comentarios
  1. Anónimo 28 Abr, 12 17:27

    Menudo título, sensacionalista a más no poder.

    Responder
    0
    1. Adrián Crespo 28 Abr, 12 17:31

      Con los resultados que se han obtenido en el estudio, que quieres que pongamos: Todas las páginas web con seguridad HTTP son seguras ????

      Responder
      0
      1. Anónimo 29 Abr, 12 2:14

        Algo como, HTTPS, no tan seguro como parece o similar, porque da la sensación de que todas todas todas las webs con https son inseguras

        Responder
        0
        1. Sergio De Luz 29 Abr, 12 10:03

          En el subtítulo está más especificado.

          Responder
          0
          1. Anónimo 29 Abr, 12 11:33

            xD, bueno da =, de todas formas está bien

            0
  2. xmz 28 Abr, 12 22:18

    No estaría de mas si pusieras un enlace al estudio en cuestión.

    Responder
    0
      1. xmz 29 Abr, 12 15:54

        Tengo 2 servidores con debian stable y me da un score de Overall Rating A, y 85 puntos.
        Creo que usando debian mis clientes y yo podemos dormir tranquilos. Gracias por el link.

        Responder
        0
  3. Teaius 28 Abr, 12 23:01

    y dale con las criptas

    Responder
    0
  4. Jacobo 29 Abr, 12 12:43

    Pregunta: si en la parte cliente -en mi navegador- desactivo el Protocolo “SSL 3.0” y dejo solo el Protocolo “TLS 1.0” ¿consigo aumentar mi seguridad?

    Responder
    0
    1. Sergio De Luz 29 Abr, 12 12:47

      No, conseguirás mayor dificultad para navegar por webs que usen SSL 3.0 (ya que no podrás hacerlo). Por defecto todos los navegadores cogen la configuración de seguridad máxima.

      De todas formas, mira esta parte:

      la mayoría de los navegadores modernos poseen la protección necesaria contra un ataque BEAST

      Por lo que si usas navegadores actualizados (Google Chrome, Firefox…) no tendrás problema. Creo recordar que Chrome tiene un parche específico para ésto, no recuerdo dónde lo leí 🙂

      Responder
      0
      1. Jacobo 29 Abr, 12 12:55

        Muchas gracias por la respuesta.

        Yo uso Iceweasel (~Firefox) en Debian 6.

        Responder
        0
  5. Albert 29 Abr, 12 14:43

    A ver si aprendemos a escribir. En este texto sobran más de 15 comas. Es prácticamente ilegible. Parece escrito por un niño de tres años, sin ánimos de ofender.

    Responder
    0
    1. Adrián Crespo 29 Abr, 12 14:53

      Está leído y releído y es totalmente legible. Así que, sin ánimos de ofender, si no te gusta, no lo leas.

      Responder
      0
      1. Rubén 21 Feb, 14 17:35

        Adrián, tiene un exceso de comas por eso es difícil leerlo

        Responder
        0
        1. AdrianCrespo 21 Feb, 14 18:22

          Creo que es un aspecto que poco a poco se ha ido mejorando….. 😉

          Responder
          0