Proteja su navegación

Cada vez que usted navega por la Web con un ordenador portátil o dispositivo móvil utiliza el protocolo http (“protocolo de transferencia de hipertexto”). Un protocolo es un conjunto de reglas y normas que permiten a dos máquinas comunicarse entre sí Https es la versión segura del protocolo http.

¿http S?

Cuando usted visita un sitio cuya Url comienza por https usted se asegura tres cosas:

  • La autenticidad del sitio visitado - Cada sitio https dispone de un certificado que presenta a su navegador cuando éste accede a él. Su navegador dispone por su lado de una base de datos que le permite verificar la validez del certificado presentado. Éste corresponde a la tarjeta de identidad del sitio y el único para cada sitio https.
  • La confidencialidad de los datos intercambiados con el sitio - Entre usted y el sitio visitado existen diversos intermediarios: el proveedor de acceso, el o los servidores, un posible proxy, incluso una persona malintencionada (especialmente en conexiones a través de hotspots wifi abiertas). Una vez que la identidad del sitio ha sido validada, se establece un canal de comunicación cifrado entre su navegador y el sitio que le garantiza que ningún intermediario entre usted y el sitio visitado podrá interceptar las informaciones intercambiadas cualesquiera que sean las páginas solicitadas, el contenido de las mismas o las contraseñas enviadas.
  • La integridad de los datos - La utilización del protocolo https le garantiza al mismo tiempo que nadie podrá modificar los datos enviados.
Anular el https

Existen algunos medios para anular el canal seguro establecido entre un sitio https y su navegador.

Bloquear las conexiones https

Se trata sin duda del medio más sencillo para anular el https. Los sitios que proponen una versión https la mayor parte del tiempo también son accesibles a través de http. Un atacante que controle la red a través de la cual se conecte (su proveedor de acceso o la conexión wifi compartida de su hotel) podría simplemente cerrar el acceso https y obligarle a utilizar la versión http no segura.

Usurpar la identidad de un sitio https

Un atacante podría ubicarse entre usted y el sitio al cual desea acceder y redirigir su tráfico hacia una copia del sitio disponiendo de un certificado falso. Esto se conoce como el Ataque del Hombre en Medio (Man in the Middle Attack).

Si va a Gmail, un atacante que desee controlar la red y los servidores DNS podría desviar su consulta y redirigirle a otro sitio que sea idéntico al servicio de mensajería de Google. El sólo índice le permitiría bloquear este ataque y proteger la seguridad de su navegador.

Su navegador le indicaría que el certificado no es válido y que el sitio visitado no es el que pretende ser.

Robo de certificados

En el marco de un ataque como el mencionado anteriormente,  es posible en muy contadas ocasiones que el atacante esté en posesión de una copia del certificado del sitio en cuestión. Este tipo de ataque es extremadamente sofisticado ya que supone haber previamente robado uno o más certificados a unaautoridad de certificación.

En agosto de 2011, la sociedad Diginotar, emisora de certificados fue pirateada y varios certificados fueron robados. Éstos fueron utilizados, principalmente en Irán, para montar ataques del Hombre en Medio a los servicios de Google. Este tipo de ataques son extremadamente eficaces ya que su navegador, incapaz de detectar el fraude, no dispara ninguna alerta de seguridad.

Algunas soluciones

Existen trucos y software que permiten mejorar la seguridad de su navegación.

Preferir la utilización de Firefox o Chrome

Mozilla, el editor de Firefox, y Google de Chrome, aportan un elemento adicional de seguridad. Son por ejemplo los primeros en actualizar las bases de datos de certificados de su navegador cuando existen situaciones de robo de certificados Diginotar mencionados anteriormente. Firefox además tiene la ventaja de ser un software libre cuyo objetivo es garantizar la seguridad y la vida privada de sus usuarios. Chrome, también pone énfasis en la seguridad, pero no es libre y no ofrece las mismas garantías en términos de la vida privada.

Desactivar Java

Java es un lenguaje multiplataforma que existe bajo la forma de plug-in para todos los navegadores. Se trata de un verdadero queso gruyere en materia de seguridad. Según el fabricante de antivirus Kaspersky, 50% de los ataques documentados en 2012 fueron utilizaron fallos del plug-in java en los navegadores. Si no necesita java en su navegador, desactívelo o incluso mejor, desinstálelo.

Mejore su navegador con algunas extensiones útiles

Es posible añadir algunas funcionalidades a Firefox y Chrome con la ayuda de algunos plugins.

  • https everywhere : verifica para cada sitio si existe una versión https (cifrada) y si se le ha redirigido a ella. Esto evitará además añadir a la dirección principal la "s" de seguridad al final de http para cada dirección Web, ya que nadie lo suele hacer en realidad.

  • No script : permite controlar los scripts javascript ejecutados en los sitios Web visitados. Javascript es un lenguaje de programación ampliamente utilizado en la Web. Se ejecuta en su navegador y en ocasiones puede ser utilizado para determinados ataques (XSS y XSRF). Usted tiene la posibilidad de autorizar a determinados sitions a ejecutar javascript y la extensión conserva su elección. Resulta tedioso al principio, pero es indispensable para navegar de forma más segura. El equivalente para Chrome es scriptsafe.

  • Web of trust : funciona bajo el modelo de crowdsourcing (información proporcionada por los usuarios) y le indica si un sitio es seguro en función de los avisos de los internautas. Si usted acaba en un sitio conocido por ser un nido de scripts maliciosos, WOT le enviará una alerta antes de que se cargue la página.