Las conexiones HTTPS podrían no ser tan seguras como creíamos en un principio

Virus

Aunque no lo parezca, un reciente estudio ha demostrado que el 95% de las conexiones HTTPS a las que acedemos podrían ser secuestradas por ataques de ciberdelincuentes, por lo que la seguridad de las mismas no es tan fiable como pensábamos.

Esto se debe fundamentalmente a que los administradores de los servidores fallan en muchas ocasiones a la hora de configurar correctamente las reglas de seguridad HTTP en el transporte de datos (HSTS), por lo que una gran cantidad de tráfico vía HTTPS a día de de hoy podría ser secuestrado por medio de ataques de terceros.

Para aquellos que no lo conozcáis, HSTS es la política de seguridad web que soportan la mayoría de los navegadores web actuales. Esta política de seguridad ayuda a los webmasters a proteger su servicio y a sus usuarios contra ataques man-in-the-middle en sus conexiones HTTPS, todo con el fin de evitar que los atacantes puedan acceder a nuestros datos.

Es por ello que, de acuerdo con un reciente estudio, el 95% de los servidores que en la actualidad ejecutan conexiones HTTPS tienen determinados errores de configuración que hacen que las conexiones abiertas servidor-cliente sean posibles víctimas frente a ataque exteriores. Además ese mismo estudio, que se ha estado llevando a cabo a lo largo de los tres últimos años, apunta a que el uso inadecuado del HSTS se ha mantenido en los mismos niveles a lo largo de este tiempo.

seguridad con https

Esto demuestra que los webmasters no se están dando cuenta o no quieren corregir este error, por lo que el fallo de seguridad persiste. La posibilidad de un ataque contra las conexiones HTTPS más débiles es aún mayor, ya que los ciberatacantes pueden elegir entre varios métodos para forzar una conexión de este tipo. Según los investigadores de seguridad, entre este 95% se pueden encontrar una gran cantidad de bancos y sitios web que se encargan de diversas operaciones financieras.

Para utilizar de manera correcta la política de seguridad HSTS, basta con que los webmasters incluyan una simple línea en la configuración del servidor: “strict-Transport-Security: max-age=31536000”. Con esto se logra que los navegadores indiquen al servidor que para acceder a su contenido sólo lo hagan a través de las conexiones HTTPS. Cuando esta opción está activa, incluso si el usuario escribe en la barra de navegación “http: //”, el navegador va a cambiarlo automáticamente a “https: //”, tal y como le indica el propio servidor.

Quizá también te interese:

Estas son las 10 contraseñas que suelen probar los cibercriminales en sus ataques

WhatsApp, Facebook, Google y las grandes de Internet van a blindar tu privacidad

Las mejores herramientas para limpiar sistemas infectados con malware

Escrito por David Onieva

Fuente > Softpedia

Continúa leyendo
Comentarios
4 comentarios
  1. Monsam
    Usuario no registrado
    20 Mar, 16 1:27 am

    Yo ya flipo… Me pongo de los nervios con la poca claridad y transparencia.

    Que vagueza… Querer dar una noticia técnica como si se supiera de lo que se está hablando.

    Y luego el estilo repetitivo y odioso de decir lo mismo de mil formas y dar vueltas a lo mismo para rellenar. Paja y más paja.

    Adiós ADSLZone.

  2. Jorge SoydelBierzo
    Usuario no registrado
    20 Mar, 16 3:11 am

    Por favor, léete otra vez tu fuente, no dice lo que cuentas aquí, por mucho que actives HSTS en el servidor si no defines un conjunto de ciphersuites que no incluyan cifrados inseguros como RC4-MD5, obsoletos como AES-CBC con HMAC-SHA, o sigues usando protocolos viejos como SSLv2 ó v3 y un largo etc de diferentes configuraciones, NO sirve de nada esto que te has inventado en este artículo, como sí expican en Softpedia.

    Si no sabéis de que escribís, preguntad antes de hacer este ridículo

  3. Anónimo
    Usuario no registrado
    20 Mar, 16 12:29 pm

    ¡Ojiplato me quedo! … ¡No tenéis ni puta idea de los habláis! … ¡Dios, que bajo ha caído esta web en temas técnicos!

    Los problemas de seguridad que hay hoy en día con los servidores web que usan HTTPS se forma incorrecta, se deben EXCLUSIVAMENTE, a que los admins (y la mayoría son culpa de los servicios de hosting), no han actualizado las cadenas de cryptosuites aceptadas en una conexión HTTPS, para eliminar las que están consideradas ‘obsoletas’ o que se ha demostrado que sean vulnerables, como SSLv1, AES-CBC y algunas otras.
    ¿Desde cuando por cambiar el tiempo de vida de una sesión HTTPS se corrige una mala configuración de los cryptosuites?
    ¡Dios mio bendito como estamos …!

  4. Anónimo
    Usuario no registrado
    20 Mar, 16 2:51 pm

    claro ejemplo de una noticia de salvame zone que no hay que leer. aprender a configuar una red local antes e soltar semejantes burradas sin sentido.

    Si no sabes torear manolete, pa que te metes.