martes, 8 de marzo de 2011

Navegación segura en Internet

Desde hace unos días veo ir y venir mensajes sobre la activación del modo seguro de acceso a Facebook, aunque en la mayoría de los casos no se sabe exactamente para que sirve esto del http y el https.


La parte inicial de una URL indica el protocolo que se va a utilizar para la comunicación, de modo que, http significa HiperText Transfer Protocol (o en castellano, Protocolo de Transferencia de Hipertexto) y https significa Hipertext Tranfer Protocol Secure (o, Protocolo Seguro de Transferencia de Hipertexto). Es decir, la única diferencia entre uno y otro es el tema de la seguridad, pero... 

¿A qué nivel de seguridad se refiere?
La idea del protocolo https consiste en crear un canal de comunicación seguro sobre una red insegura. Para ello, el protocolo https utiliza un cifrado basado en SSL/TLS,  es decir, protocolos de cifrado o criptográficos. Este tipo de conexiones es el que se utiliza para operar con el banco, sitios de compras on-line y, en general, en cualquier sitio que requiera el envío de información sensible.

Este tipo de protocolos te protege de dos tipos de ataques básicamente:
  • Eavesdropping, que consiste básicamente en que alguien pueda estar monitorizando todo el tránsito de la red. Esto generalmente se refiere a las redes donde hay que pasar por un proxy, router, etc... para acceder a Internet o en redes WIFI.
  • Man-in-the-middle, este caso es semejante al anterior, salvo que la persona que opera el sistema adquiere la capacidad de leer, modificar e insertar mensajes en el curso normal de las comunicaciones sin que ninguno de los dos extremos se percate de ello.
Los operadores de telefonía con los que trabajamos hoy en día, también, tendrían capacidad para realizar este tipo de ataques.

Realmente, no es que no se pueda interceptar la comunicación, sino que lo que se consigue es que la información sensible (usuario, claves de acceso, etc...) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexión, ya que lo único que obtendrá será un flujo de datos cifrados que le resultará imposible de descifrar.

¿De que no me protege este protocolo?
Realmente, de poco más, ya que si te conectas a una web de descargas y te descargas una aplicación con virus, tendrás la seguridad de que el intermediario no se infectará con el mismo, pero si lo ejecutas si que te infectarás.

Si te conectas a una página de phishing, que utilice https, e introduces tu usuario y contraseña el estafador recibirá estos datos correctamente, aunque tendrás la seguridad de que nadie más por el camino los ha recibido.

Si ejecutas una aplicación fraudulenta en Facebook, tendrás la seguridad de que tus datos se entregarán al cracker por un canal seguro.

Si criticas al jefe en Facebook, más tarde o más temprano se enterará, aunque utilices https, ya que independientemente de la seguridad del canal de comunicación el comentario estará en Facebook, junto con sus "increíbles" niveles de seguridad y privacidad.

En la mayoría de los sistemas basta con añadir la "s" y, si el servidor al que conectamos tiene soporte para https, accederemos sin problemas como es el caso de Google SSL (Encriptado) y, en caso contrario, nos enviaría a la página accesible por http o nos devolvería una página de error.

En Google SSL, cuando realizamos una búsqueda y pinchamos a un enlace, conectamos con el protocolo de la página de destino, ya sea http o https, pero sin tantos mensajes de alerta innecesarios y "asusta viejas", ya que lo único que hay que proteger de Facebook es el usuario y la contraseña de acceso. Facebook ya se encargará de que tus mensajes estén accesibles para medio mundo, incluso por https si así lo desean.

¿Como se activa el protocolo https en Facebook?
Para activar el protocolo https en Facebook, hay que ir a la "Configuración de la cuenta" y, en "Seguridad de la cuenta", marcar la primera casilla de verificación. Si os fijáis, para acceder a "Configuración de la cuenta", se utiliza https por defecto sin tantos aspavientos por parte de Facebook.


Aunque es muchísimo más interesante la segunda opción, ya que activando esta opción podréis saber si alguien a accedido a vuestra cuenta de Facebook sin autorización, podéis leer más al respecto en el artículo "Alguien a crackeado tu cuenta de Facebook".

¿Hay algún problema debido a la activación del https en Facebook?
Ninguno, salvo algunas incomodidades que Facebook introduce sin ninguna razón aparente, ya que en la configuración se advierte, "Usar Facebook mediante una conexión segura (https) cuando sea posible". Esto implica que cuando vamos a acceder a una aplicación de Facebook que no tenga soporte para https, aparecerá un mensaje como el siguiente:


Al pulsar "Continuar" se ejecutará la aplicación por http sin problemas y al salir de ella se volverá a utilizar https, como teníamos configurados.

También me han comentado que el chat deja de funcionar, y es normal, ya que si hemos activado el protocolo https y tenemos el chat abierto en otra pantalla, ya no se entiende con el destinatario hasta que se cierre la pantalla y se vuelva a abrir o se recargue la pantalla. Yo lo he probado y cuando funciona, funciona igual de "bien" que siempre.

De todos modos, los que llevan tiempo utilizando el chat de Facebook, ya saben que falla más que una escopeta de feria.

Comparte la información:

Si te pareció útil, o conoces a alguien que le pueda interesar, recomienda la información.