Los antivirus están haciendo que tus conexiones HTTPS sean inseguras

Escrito por Rubén Velasco
Redes

Las conexiones HTTPS se caracterizan principalmente por viajar cifradas de extremo a extremo y con la certeza de que estas conexiones no son interferidas ni monitorizadas por piratas informáticos en el trayecto. Actualmente, más de la mitad de Internet ya utiliza conexiones HTTPS para garantizar la seguridad de las conexiones de sus usuarios, sin embargo, últimamente, los antivirus pueden estar poniendo en peligro estas conexiones sin que nosotros nos demos cuenta.

Desde hace algún tiempo, muchos de los antivirus comerciales están utilizando técnicas MITM para poder analizar el tráfico HTTPS y poder proteger a los usuarios de posibles amenazas que nos lleguen a través de la red. Sin embargo, las técnicas utilizadas por estas aplicaciones, en realidad, suponen un peligro mucho mayor para la seguridad y privacidad del que suponen proteger.

Las aplicaciones de seguridad suelen interceptar estas conexiones mientras se realiza la negociación “TLS handshake“, tomando el control de las conexiones y descifrando el tráfico para poder analizarlo. Aunque después el antivirus suele utilizar otros algoritmos para cifrarlas, un estudio ha demostrado que estos algoritmos son débiles, inseguros, y suponen un gran peligro para los usuarios.

MITM Antivirus HTTPS

Entre otros datos interesantes, este estudio ha demostrado que, por culpa de esta agresiva técnica de los antivirus modernos, el 97% de las conexiones realizadas desde el navegador Mozilla Firefox, el 32% de las compras online y el 54% de las conexiones realizadas a través del CDN Cloudflare se hicieron menos seguras y pudieron poner en peligro a los usuarios.

Los certificados HTTPS auto-firmados tampoco son del agrado de los antivirus

Desde hace algún tiempo, la mayoría de los antivirus comerciales que utilizamos en nuestro ordenador han empezado a analizar con detenimiento todos los certificados HTTPS de las páginas web que visitábamos o de las conexiones que se establecían, bloqueando automáticamente todos aquellos que pudieran considerarse como peligrosos.

En los últimos meses, gracias a plataformas como Let’s Encrypt, el uso de certificados auto-firmados ha crecido notablemente permitiendo así a los administradores de páginas web implementar conexiones seguras a través del protocolo HTTPS de forma rápida y, sobre todo, barata. Sin embargo, estos certificados, al ser generados por los usuarios, no les gustan a los antivirus, quienes los detectan como un certificado “potencialmente peligroso”, llegando a convertirse en una verdadera molestia para muchos al estar viendo constantemente mensajes del antivirus y viendo cómo este bloquea la conexión segura.

Error certificado Kaspersky

Las empresas antivirus tiemblan. Windows 10 Creators Update con el renovado Windows Defender ya está a la vuelta de la esquina

Los antivirus han tenido su época de oro, sin embargo, actualmente tienen miedo del futuro. Con Windows 10, Microsoft se está tomando en serio la seguridad de su sistema operativo, una de sus asignaturas pendientes más longevas, y ha implementado un gran número de medidas de seguridad que lo hacen prácticamente invulnerable al malware y capaz de protegerse a sí mismo incluso de exploits y vulnerabilidades desconocidas, e incluso del ransomware, amenaza que ni los antivirus más caros han sido capaces de neutralizar.

Por si fuera poco, el software de seguridad de Microsoft, Windows Defender, ha sido totalmente rediseñado y convertido en una completa suite de seguridad que nos ofrecerá protección contra malware, un firewall, controles parentales y un software de optimización nativo en Windows, dejando a los antivirus clásicos como algo totalmente obsoleto, e incluso siendo inseguros, tal como hemos visto en este artículo.

¿Crees que los antivirus deberían dejar las conexiones HTTPS cifradas o hacen bien interceptándolas y analizándolas?

Fuente > Zdnet


Continúa leyendo
  • Game over

    Puede aceptarse que a uno se le olvide puntualmente citar las fuentes, pero lo vuestro es constante.

    ¿Podéis, por favor, poner el enlace a ese estudio que citáis en el artículo?

    ——-

    “…gracias a plataformas como Let’s Encrypt, el uso de certificados auto-firmados…”

    ¿Auto-firmados? No los firma el usuario, los firma una CA reconocida y en vigor y tienen la misma validez que los emitidos por Comodo o por Digicert.

    • La fuente está puesta en la zona justo debajo de la noticia, donde debe estar :S

      • Game over

        No hagas trampas al solitario.

        El enlace al propio estudio que citáis y en el cual basáis el artículo, no a otra página que habla de dicho estudio (y en el que sí se cita su procendencia).

        • ruvelro

          Es tan fácil como entrar en la fuente y buscarlo allí:

          Te ahorro un clic: https://zakird.com/papers/https_interception.pdf

          • Game over

            Gracias por la pista, pero no funciona así.

            Si tú redactas un artículo basándote en un estudio, has de enlazar dicho estudio.

            Sí te enteras del estudio a través de una tercera fuente, has de citarlo igualmente, pero, por convención, con algo como “Vía ZDNet”.

            No es cuestión de que sea fácil o difícil.

  • Andres Javier Narvaez

    Da igual de todas formas en mi eset smart security se puede desactivar el análisis de HTTPS Y con la versión #9 esta característica esta mejorada

    • Game over

      “Y con la versión #9 esta característica esta mejorada”

      Mejorada, ¿para ser más intrusiva aún?

      😉

  • nova6k0

    Es que sinceramente un certificado autofirmado. Imaginemos nosotros, “Certificado por ADSLZone” como que sería sospechoso, porque por muy buena reputación que se tenga siempre puede haber un mínimo de duda.

    Yo generalmente no me fío de las webs autofirmadas, porque básicamente pueden llevarte directamente a un Ataque Man In The Middle. Aún más fácil que si se usase la web no segura o HTTP.

    Salu2

    • Game over

      Estamos totalmente de acuerdo con lo que una web con certificados autofirmados, pues no se toma muy en serio la seguridad. Pero es que los certificados de Let’s Encrypt, no son autofirmados.

      • nova6k0

        Es que precisamente, por eso lo decía. Es cierto los certificados de Let´s Encrypt no son certificados autofirmados. Entre otras cosas porque para sea un certificado autofirmado sólo se da de dos formas:

        – Que seas tú quien crea el certificado y seas tú el que lo instale, sin que lo verifique una entidad certificadora.

        – Que sea una persona quien lo crea, aunque lo instales tú y confíes en esta primera.

        Salu2

  • David

    Let’sEncrypt no son certificados autofirmados.
    Let’sEncrypt es un movimiento para favorecer el cifrado de todo el tráfico existente en la web

Últimos análisis

Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10