¿HTTPS significa que puedes usar un Wi-Fi público con seguridad?

¿HTTPS significa que puedes usar un Wi-Fi público con seguridad?

Javier Jiménez

Cuando navegamos por la red podemos ser víctimas de muchos tipos de ataques. Hay muchas amenazas que pueden poner en riesgo el buen funcionamiento de nuestros sistemas y nuestra propia privacidad. Esto aumenta si nos conectamos a una red Wi-Fi pública. Ahora bien, el hecho de navegar por páginas cifradas HTTPS disminuye el riesgo de que nuestros datos e información puedan filtrarse. Sin embargo, ¿hasta qué punto esto es realmente así y estamos a salvo? En este artículo vamos a tratar de hablar de ello.

¿Estamos seguros en una red Wi-Fi solo por navegar en HTTPS?

A la hora de navegar por redes inalámbricas públicas hay que tener en cuenta el riesgo de que nuestros datos puedan filtrarse. No sabemos realmente quién puede estar detrás de esa red Wi-Fi y qué intereses puede tener. Es posible que nos topemos con algún tipo de pirata informático que esté a la espera de robar datos de los usuarios que se conecten.

El problema es que en ocasiones los usuarios pueden creer que el hecho de navegar por páginas cifradas HTTPS ya hace que la navegación sea segura. Es cierto que es muy importante que a la hora de introducir datos e información personal en las diferentes páginas que utilicemos lo hagamos en páginas de este tipo.

La cuestión principal es que el hecho de navegar por páginas HTTPS y a través de redes públicas puede ser un problema igualmente. Cualquier atacante podría recopilar ciertos datos pese a que naveguemos por páginas cifradas. Estos datos pueden incluir el nombre del dominio o el tamaño de los archivos que descargamos, por ejemplo. En definitiva, aún estando cifrada la página sí que podrían acceder a ciertos metadatos.

Es cierto que, el nombre de usuario, las contraseñas, los formularios que rellenamos o los mensajes que enviamos van a estar protegidos debido a que la comunicación de HTTPS nos garantiza la confidencialidad, autenticidad y la integridad de la conexión con el servidor web. Sin embargo, hay métodos para «saltarse» este HTTPS en determinadas circunstancias.

La importancia del protocolo HSTS

Respecto a lo último que mencionábamos tiene una gran importancia el protocolo HSTS. Es un mecanismo de seguridad que está diseñado para asegurar las conexiones HTTPS en todo momento. Mitiga ataques de tipo SSLstrip que permiten «levantar» la conexión HTTPS, y que pueden llevar a cabo posibles ciberdelincuentes para acceder a la información y datos que enviamos.

Esto es algo que corre a cuenta del responsable de la web. Forma parte de la seguridad del servidor y, en definitiva, de un dominio y sus subdominios. Debe estar activado para realmente hacer que esa página esté segura. Esto significa que aunque entremos en páginas web HTTPS podrían levantar esa barrera de seguridad si la página no tiene HSTS activado, y siempre y cuando hayamos entrado previamente en esa página al guardarse una cookie, o tenemos el navegador preconfigurado para un dominio en cuestión.

En el caso de Google Chrome, que es el navegador más popular y utilizado hoy en día, tendríamos que entrar en chrome://net-internals/#hsts. Una vez aquí podremos tanto añadir dominios de manera manual, como también borrar los que tenemos guardados.

Borrar caché HSTS

Adicionalmente a esto tenemos que introducir el nombre del dominio en el apartado Query HSTS/PKP domain y pinchar en Query. La respuesta debería de ser Not found. Con esto habremos borrado la caché HSTS en nuestro navegador, pero no es recomendable hacerlo por seguridad. Si en un determinado momento el navegador nos devuelve un error a la hora de conectarnos, es posible que el certificado del sitio haya caducado, o nos estén haciendo un ataque MitM.

Aplicaciones para descifrar tráfico HTTPS

Por tanto podemos decir que un pirata informático con los conocimientos necesarios podría descifrar el tráfico HTTPS cuando nos conectamos a una red Wi-Fi pública. Un ejemplo es la aplicación SSLstrip. Básicamente permite realizar un ataque Man in The Middle, y lo que hace realmente es engañar al cliente convirtiendo la web que quiere visitar de HTTPS en HTTP. De esta forma podría acceder a la información. Os dejamos un tutorial donde explicamos cómo funciona SSLstrip.

Pero el caso de SSLsTrip no es único, ya que existen otras herramientas con un fin similar. Otro ejemplo es Breach, un script que utiliza una técnica capaz de obtener la información que contiene los paquetes HTTPS. En definitiva, aunque naveguemos por una página HTTPS en una red Wi-Fi pública nuestra información puede estar en peligro. Hay métodos a través de los cuales los piratas informáticos podrían levantar la barrera y hacer que esas conexiones no sean todo lo seguras que nos gustaría.

Nuestro consejo es evitar introducir datos personales, contraseñas e información confidencial siempre que naveguemos a través de redes inalámbricas que puedan ser inseguras. Es conveniente también hacer uso de una VPN. Os dejamos una lista con los mejores servicios VPN y las mejores VPN gratis.