Nuevos ataques logran evadir la seguridad del protocolo HTTPS
A diferencia de conexiones HTTP, el protocolo HTTPS ofrece una capa de seguridad adicional asi todo el tráfico permanezca cifrado de extremo a extremo esto hace imposible de acceder a él. Estas conexiones son imprescindibles siempre que queramos enviar formularios de inicio de sesión o información personal y sensible por ejemplo cualquier transacción con las tarjetas de crédito, sobre todo cuando lo hacemos desde redes inseguras o públicas.
Gracias al protocolo HTTPS, todas nuestras conexiones van a viajar cifradas desde nuestro dispositivo hasta el servidor, y viceversa, evitando que un usuario esté controlando cualquiera de los puntos de la red pueda acceder a la información, especialmente en redes públicas, que es uno de los puntos más vulnerables donde se necesita la máxima seguridad posible para evitar exponer nuestros datos a otras personas.
Investigadores de seguridad han descubierto una forma de comprometer la seguridad del protocolo HTTPS en todo tipo de redes, incluso en las públicas, donde la seguridad es vital para proteger los datos. Esta vulnerabilidad se debe a un abuso de la característica Web Proxy Autodiscovery Protocol (WPAD), un método utilizado para encontrar la dirección URL de un archivo de configuración utilizando técnicas de descubrimiento de servidores DHCP y/o DNS.
Usando esta técnica, se puede descubrir la URL completa a la que se asocia un paquete HTTPS. Aunque el resto de información sobre la conexión sigue siendo segura, poder averiguar la URL completa puede ser un peligro ya que en muchos casos en la misma URL se incluyen datos sobre el inicio o las cookies de sesión, como ocurre con el estándar OpenID o con muchas otras plataformas como Google o Dropbox, quienes comparten un token de inicio de sesión incluido en la URL. Muchos mecanismos de recuperación de contraseñas funcionan de forma similar.
Este fallo de seguridad afecta a los principales sistemas operativos de escritorio: Windows, Linux y macOS. Si nos conectamos a estas webs desde dispositivos móviles, nuestra URL seguirá estando protegida.
Cómo desactivar WPAD en Windows para proteger las conexiones HTTPS
Este vector de ataque fue explotado en 1999, los desarrolladores de sistemas operativos y navegadores web aún no han puesto solución al respecto. Algunos navegadores como Internet Explorer 11 o Microsoft Edge hacen uso de una función intermedia que, solo exponen el nombre de dominio, manteniendo el resto de información totalmente asegurada.
Como seguridad adicional, podemos desactivar el uso de WPAD cambiando lo siguiente:
- Ejecutamos “regedit” y nos desplazamos hasta la ruta “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad”.
- Creamos un valor DWORD de 32 bits y lo llamamos “WpadOverride“.
- Hacemos doble clic sobre él y cambiamos su valor de “0”, valor por defecto, a “1”.
- Reiniciamos el ordenador y WPAD debería estar ya desactivado, evitando que nuestras conexiones HTTPS puedan verse comprometidas.
Como medida extrema, es recomendable conectarnos a redes inseguras a través de una conexión VPN.
Esta no es la primera vez que el protocolo WPAD expone la seguridad de los usuarios
El protocolo WPAD se utiliza para comprometer la seguridad de las telecomunicaciones. El pasado mes de abril, otros investigadores de seguridad descubrieron un nuevo troyano bancario, conocido como BlackMoon, aprovechaba este protocolo para redirigir a los navegadores a webs de phishing cuando intentaban acceder a determinadas URLs.
Si estos nuevos ataques hacen eco, es posible que en breve veamos cómo Google Chrome y Firefox se actualicen para proteger a los usuarios de esta vulnerabilidad.
La entrada Nuevos ataques logran evadir la seguridad del protocolo HTTPS aparece primero en EnHacke.