Tengo una contraseña segura, ¿Y qué?
Desde el principio de los tiempos tener una contraseña con caracteres alfanuméricos, minúsculas y mayúsculas, números y símbolos ha sido sinónimo de seguridad. ¿Pero hasta que punto están protegidas nuestras cuentas?
Ahora bien, antes de seguir permitidme explicar un par de protocolos de transferencia. Un protocolo de transferencia es el sistema por que se transfiere información entre el cliente y servidor.
Los protocolos de transferencia más usados en la World Wide Web son http y https.
HTTP y HTTPS
El protocolo HTTP (Hypertext Transfer Protocol) funciona mediante solicitudes y respuestas entre un cliente y un servidor. Un cliente puede ser un navegador de Internet como Mozilla Firefox o Google Chrome y un servidor es aquel equipo donde se encuentra una web alojada (Apache, IIS entre otros).
La solicitud que envía el cliente al servidor se denomina http request y la respuesta del servidor al cliente http response.
Es decir, cuando rellenamos un formulario de inicio de sesión (login) en una pagina web con nuestro usuario y contraseña estamos enviando un http request en el que están nuestros datos, cuando el servidor recibe el http request envía un http response al cliente indicando si estos datos son correctos o no.
Por otra parte tenemos el protocolo HTTPS (Hypertext Transfer Protocol Secure), que como podréis intuir está basado en HTTP pero con una importante diferencia. La diferencia es que el protocolo HTTPS utiliza un canal cifrado entre cliente-servidor y toda la información que introduzcamos, por ejemplo en un login, viajará cifrada, o lo que es lo mismo “en un canal seguro“, lo dejamos entre comillas, pero esto será para un futuro artículo ;).
Primeras conclusiones
Llegados a este punto podemos deducir que lo importante no es lo larga y segura que sea tu contraseña, lo importante es donde la metes.
Para que quede más claro, si nosotros tenemos una cuenta en la página http://www.páginanosegura.com y que como podemos observar usa protocolo http, cada vez que nos logeamos en ella estamos enviando sin cifrar información como el ID del usuario y contraseña, haciendo que el acceso a esa información sensible sea visible en la red ya que va sin cifrar.
Manos a la obra
Y si no te lo crees voy a mostrar lo sencillo que resultaría que te roben la cuenta. Tan solo necesitamos Ettercap y el famoso Wireshark. Voy a seleccionar una página aleatoria que cumpla nuestros requisitos, nos basta con realizar una búsqueda en Google.
Con una máquina virtual voy a simular ser la víctima. Una vez configurado Ettercap para realizar el MitM (Man in the middle) y activado el Wireshark esnifando lo que pasa por mi red voy a logearme en la página seleccionada como lo haría la víctima:
Observad como incluso el navegador nos indica que la conexión no es segura.
Una vez realizado el login o dicho de otra forma, una vez hemos enviado el http request con los datos introducidos que viajarán sin cifrar tan sólo tenemos que buscar el paquete que nos interesa con el Wireshark usando un simple filtro. Y aquí tenemos la información que buscábamos:
Y así de fácil obtendrían nuestra contraseña por muy larga y segura que fuese.
Y para finalizar aquí os dejo unos simples consejos para evitar que os “cacen” la contraseña:
- No te conectes a ninguna red Wifi pública o de dudoso origen, como aeropuertos, playas, hoteles, etc…, ya que la red podría estar siendo monitorizada por cualquier persona con malas intenciones.
- Fíjate bien en la dirección completa de la página (URL). Recuerda: https siempre que tengas que darte de alta en algún sitio, como en una transacción comercial o bancaria.
- Cuidado con navegar con el móvil, los navegadores no nos hacen ningún favor ocultando la URL de la página en la que estamos.
- Habrá ocasiones en la que tendrás que iniciar sesión en una página http por obligación, se consciente de lo que esto significa. Nunca lo hagas desde una red que no sea segura y asegúrate de que no haya algún sniffer haciendo de las suyas.
- Y por último diré algo obvio pero que mucha gente no cumple, no uses el mismo usuario y contraseña para todas las páginas donde tengas una cuenta, ya que si te roban la contraseña de un página tendrán acceso a todas.
Esto es todo, espero que os haya gustado, saludos y hasta la próxima.
Pingback: Crear un certificado SSL autofirmado e implementarlo en un servidor Apache en Debian 8 – SOSpedia