Ahora cualquiera puede robar tu cuenta de Facebook y Twitter. Cómo protegerse
Como posiblemente ya sabés, acaba de salir una extensión (o agregado) para Firefox llamada Firesheep que facilita el robo de los paquetes de datos de Internet, la suplantación de cookies y, con esto, el secuestro se sesión. Dicho fácil: ahora casi cualquier persona puede robar cuentas de Facebook, Twitter, Hotmail, Amazon y así.
¿Cómo protegerse? Aquí van algunas claves y un par de extensiones para Firefox que fuerzan la comunicación segura de datos entre tu computadora y los sitios.
El problema, para ser completamente justos, no es Firesheep sino la falta de seguridad en muchos de los sitios más populares de Internet. De hecho, la técnica que usa Firesheep es tan vieja como las redes y se llama packet sniffing o captura de paquetes o análisis de paquetes . Se puede hacer en redes cableadas o inalámbricas y es una técnica de diagnóstico que puede usarse para robar datos; he advertido en numerosas ocasiones sobre esto. Ahora, sencillamente, la situación ha empeorado.
La vulnerabilidad que expone Firesheep es que la transmisión de datos entre nuestras computadoras y sitios inmensamente populares, como Facebook y Twitter, no está encriptada todo el tiempo. Sólo en el momento de registrarnos (el login) se usa la conexión segura o HTTPS. Después, ya no. Por lo tanto, las cookies pueden capturarse y usarse para suplantar nuestra identidad ante el sitio. (A propósito, en sites que sí encriptan todo el tiempo la solución está a veces mal implementada y también ahí pueden robarse las cookies.) En total, si alguien obtiene la cookie que Facebook usa para reconocerte podrá hacerse pasar por vos frente a la red social, entrar en tu cuenta, cambiarle la contraseña y adiós, la perdiste. Con Firesheep esto se hace con un doble clic, así de fácil.
Hasta ahora, la captura de paquetes y el robo de cookies era algo reservado a los usuarios muy avanzados. Firesheep ha puesto esta técnica al alcance de casi cualquier persona. Su creador asegura que lo hizo para llamar la atención sobre la crisis de seguridad que existe en Internet. Opinable, por lo menos. ¿Hace falta poner en un peligro mayor a millones de usuarios para que de una vez los sitios que requieren registro usen HTTPS todo el tiempo? ¿O es peor el remedio que la enfermedad? Me gustaría saber qué piensan sobre esto, es un tema extremadamente delicado. Por ejemplo, las soluciones que presento aquí fueron planteadas por el mismo Eric Butler, autor de Firesheep.
--------------------------------------------------------------------------------------------------------------------------
Clave: No uses sitios que requieren loguearse en WiFis públicos que no te piden contraseña. Si no queda más remedio, deberías forzar el uso de conexiones encriptadas durante toda la sesión. Facebook y Twitter, por ejemplo, permiten esta práctica, pero no la usan de forma predeterminada (al revés que, por ejemplo, Gmail). Para usar siempre conexiones encriptadas en esos sitios, a continuación van dos extensiones para Firefox.
--------------------------------------------------------------------------------------------------------------------------
HTTPS Everywhere
Este agregado fue creado por la Electronic Frontier Foundation . Tiene la contra de que se limita a sólo algunos servicios (Google Search, Wikipedia, Facebook, Twitter, Wordpress y otros). A su favor está que proviene de una respetada y bien establecida organización.
Force-TLS
Esta extensión permite configurar los sitios en los que queremos forzar la conexión segura. Por supuesto, el servicio tiene que dar soporte a sesiones seguras.
Ninguna de estas dos herramientas te garantiza al 100% que no vayas a ser víctima de alguien que está usando Firesheep, pero son mejor que nada. Como digo siempre, confiar la seguridad sólo al software puede darnos una falsa sensación de invulnerabilidad. Para que te des una idea, el Firesheep ya fue descargado mas de 200.000 veces.
Otras formas de protegerse son las VPN y los proxy seguros (SSL/TLS). Ambas cosas suenan extravagantes para el resto de nosotros. Así que de momento, esta situación debería ayudarnos a abrir los ojos y darnos cuenta de que cuando usamos un Wi-Fi público que no exige contraseña (confitería, hotel, aeropuerto, etc.) estamos poniendo en el aire nuestros datos personales y muchos sitios no los protegen adecuadamente. Cuidado, entonces. Si tenemos Wi-Fi en casa, hay que protegerlo debidamente .
Para los que quieran ahondar en el asunto, hay un buen artículo (en inglés) en Boing Boing .
Lanacion.com