¿Qué es SSL Stripping Attacks?

SSL Los ataques de stripping (también conocidos como SSL downgrade o HTTP downgrade attacks) son un tipo de ciberataque en el que los hackers degradan una conexión web del más seguro HTTPS al menos seguro HTTP. Esto hace que todas las comunicaciones queden sin cifrar y prepara el terreno para un ataque man-in-the-middle, en el que el hacker se sitúa en medio de una conversación escuchando o interceptando información. SSL stripping puede conllevar riesgos de seguridad como que los hackers escuchen a escondidas información privada o incluso alteren datos o comunicaciones sin que lo sepan los usuarios legítimos.

Este artículo cubrirá todo lo que necesita saber sobre SSL ataques de despojo, incluyendo:

• ¿Qué son los ataques de despojo SSL ?
• ¿Cómo funcionan los ataques de extracción de SSL ?
• ¿Cuáles son ejemplos de cómo funcionan los ataques de despojo de SSL ?
• ¿Cuáles son los riesgos potenciales de los ataques de SSL stripping?
• ¿Cómo puede protegerse contra los ataques de extracción de SSL ?

Toda conexión a un sitio web requiere un protocolo de aplicación, que puede ser HTTP o HTTPS. HTTP es menos seguro porque transmite la información en texto plano, mientras que HTTPS es más seguro porque cifra toda la información. HTTPS cifra la información mediante el uso de SSL/TLS, que actúa como un certificado digital que puede autenticar identidades y cifrar datos.

SSL Los ataques de stripping se producen cuando un hacker interviene en la conexión entre un usuario y un sitio web. El hacker se sitúa en medio de la conexión, conectándose a la versión HTTPS del sitio y conectando al usuario a la versión HTTP del sitio. Esto les permite ver todo lo que dice el usuario de forma no cifrada.

Moxie Marlinsplike, investigador de seguridad informática, advirtió por primera vez de las posibilidades que tienen los hackers de llevar a cabo el stripping de SSL en un evento sobre seguridad de la información celebrado en 2009. Señaló que este tipo de ataque supondría una amenaza significativa para la seguridad, ya que los hackers pueden ejecutarlo sin ser detectados, en tiempo real, en cualquier sitio web, independientemente de los protocolos de seguridad que tenga implantados.

Cuando los usuarios visitan un sitio web, primero se conectan a la versión HTTP antes de ser redirigidos a la versión HTTPS. En los ataques de desprotección de SSL , los hackers saltan a esta ventana para actuar como un hombre en el medio e impedir que los usuarios se conecten a la versión HTTPS del sitio.

Desglosando aún más este concepto, toda conexión a Internet comienza siendo insegura. Los usuarios tienen que visitar un sitio web con la versión HTTP antes de poder establecer la autenticación para pasar a la versión segura HTTPS. Estos pasos tienen por objeto garantizar la privacidad y verificar la legitimidad de quienes intervienen en la conexión.

Los hackers pueden "despojar" la conexión SSL insertándose en este proceso. Cuando lo hacen, actúan como un hombre en el medio estableciendo su propia conexión HTTPS con el sitio web (haciéndose pasar por el usuario) y manteniendo la conexión HTTP con el usuario (haciéndose pasar por el sitio web). Una vez que establecen esas conexiones, pueden sentarse en medio de la conversación y obtener todo lo que el usuario envía en el sitio web en forma de texto plano. Cuando esto sucede, los usuarios no sólo están compartiendo información con una fuente ilegítima en texto plano, sino que también pueden recibir respuestas alteradas a cambio (ya que el hacker puede alterar la comunicación de vuelta del sitio web legítimo).

Por lo general, hay tres formas en las que los hackers pueden obtener el acceso necesario para ejecutar ataques de extracción de SSL :

• Servidores proxy: Los hackers pueden configurar manualmente el proxy del navegador de un usuario para dirigir todo el tráfico a su propio servidor externo. Esto significa que todas las solicitudes web de los usuarios irán al hacker, que puede tomar el control y establecer conexiones manipuladoras basadas en cada solicitud.
• Suplantación de ARP: Los piratas informáticos se conectan a la dirección IP de un usuario a través de un mensaje falsificado del protocolo de resolución de direcciones (ARP). Una vez que se conectan de esta forma, pueden recibir cualquier dato destinado a la dirección IP del usuario legítimo.
• Acceso a la red: Los hackers pueden crear una red wifi pública falsa y una vez que los usuarios se conectan a esa red, pueden controlar todas las comunicaciones que se produzcan en ella. Si los hackers pueden acceder a cualquier red segura, también pueden ejecutar el ataque de forma similar.

SSL Los ataques de stripping pueden adoptar numerosas formas, pero he aquí tres ejemplos de cómo pueden funcionar en acción.

Alice trabaja en atención al cliente en su empresa y necesita visitar un sitio que utiliza a menudo para introducir algunos detalles sobre conversaciones recientes con clientes que ha mantenido. Sin que ella lo sepa, se queda en la versión HTTP del sitio en lugar de autenticarse en la versión HTTPS del sitio porque un hacker está sentado en medio de esa conexión. Ahora, todo lo que ella introduce se comparte sin ningún tipo de cifrado, exponiéndolo directamente al hacker.

En el curso de su trabajo, Alice introduce información sobre sus clientes, incluidos sus nombres completos, direcciones y números de cuenta. El hacker que está al otro lado tiene acceso a esta información y puede utilizarla para hacerse pasar por esos clientes.

Bob quiere hacer algunas compras online mientras está sentado en una cafetería, así que se conecta a la red wifi pública de la tienda y visita su sitio de comercio electrónico favorito. Las páginas de camisetas por las que navega no tienen un candado en la barra de URL que indique que son seguras, pero él piensa que no pasa nada, ya que solo está mirando las camisetas y no está introduciendo ningún dato. 

Después de pasar un rato en el sitio, encuentra tres camisas que le gustan y las añade a su cesta. En ese momento, se olvida de que falta el candado e introduce los datos de su tarjeta de crédito y la dirección de facturación para completar la transacción. Después de 50.000 dólares en cargos fraudulentos, Bob se entera de que en realidad había un hacker interrumpiendo su conexión con la versión segura del sitio de comercio electrónico, lo que expuso los datos de la tarjeta de crédito y la dirección de facturación de Bob.

María trabaja en el departamento financiero de su empresa y le piden que haga un reembolso a un cliente. Acude al sitio web de la comunidad de clientes de la empresa para enviar un mensaje al cliente sobre los plazos de devolución y confirmar que tiene la información correcta sobre dónde enviar la devolución. El cliente responde que en realidad tiene una cuenta nueva y le pregunta si puede enviar el reembolso allí. Envía una prueba para verificar la cuenta y emite el reembolso en consecuencia.

De lo que Mary no se dio cuenta en el transcurso de esta conversación es de que estaba en una versión HTTP insegura de la comunidad de clientes en lugar de en la versión HTTPS segura. Resulta que un pirata informático había establecido previamente un servidor proxy en su ordenador para dirigir todo el tráfico a su propio servidor, lo que le permitió eliminar la dirección SSL de su conexión a la comunidad de clientes. Una vez que el hacker estableció esa conexión, interceptó las comunicaciones de Mary y envió la información de su propia cuenta bancaria para recibir el reembolso, todo ello mientras se hacía pasar por Mary ante el cliente real y le decía que la empresa no podría hacer frente al reembolso.

SSL Los ataques de stripping son extremadamente peligrosos, porque a menudo pueden ocurrir sin que el usuario se dé cuenta. Esto significa que los usuarios no alterarán su comportamiento porque no se dan cuenta de que algo está realmente mal. En el camino, estos ataques plantean graves riesgos, incluyendo:

Con los ataques de descifrado SSL , cualquier cosa que los usuarios envíen a un sitio web es accesible a los piratas informáticos y a cualquier otra persona porque se envía en texto plano y no cifrado. Esto puede conducir fácilmente al robo de información, incluida la propiedad intelectual y la información sensible y de identificación personal sobre el usuario o los clientes de una empresa....

SSL Los ataques de stripping no sólo permiten a los hackers interceptar la información que los usuarios envían a un sitio web, sino también hacer lo contrario y alterar las comunicaciones de vuelta del sitio web al usuario.

Esto significa que los usuarios pueden recibir comunicaciones inexactas de vuelta del sitio web porque fueron alteradas en tránsito por el hacker. Recibir información falsa de esta manera puede llevar a los usuarios a tomar un conjunto de acciones completamente diferentes de las que hubieran tomado, lo que lleva a una serie de amenazas tanto para los individuos como para las empresas.

Robar las credenciales de inicio de sesión de los usuarios mediante un ataque de intermediario también puede dar a los piratas informáticos acceso a cualquier número de sistemas adicionales. Esto significa que incluso si sólo un sistema es susceptible de ataque, puede hacer que otros sistemas más seguros sean más vulnerables como resultado. En general, esta situación exige que los equipos de seguridad de las organizaciones se aseguren de que no hay ningún eslabón débil, por trivial que parezca cualquier punto de conexión.

A pesar del grave riesgo que suponen los ataques de desprotección de SSL , existen varias medidas que las organizaciones pueden adoptar para protegerse contra ellos. Algunas de las mejores formas de protegerse frente a los ataques de desprotección de SSL son:

Es habitual activar SSL en cualquier página web que requiera que los usuarios introduzcan información, lo cual es un buen comienzo. Pero la mejor práctica es habilitar SSL en todo el sitio web -incluso en las páginas que no requieren que los usuarios introduzcan información- para garantizar una protección más completa evitando cualquier laguna al pasar de HTTP a HTTPS.

Cuando habilite SSL en todo el sitio, los navegadores modernos incluso indicarán un problema a los usuarios si no pueden verificar el certificado del sitio para conectarse a través de HTTPS. Esto ayuda a alertar a los usuarios de que continuar con la conexión puede hacerlos vulnerables a un ataque.

HSTS son las siglas de HTTP Strict Transport Security y crea una política que dice que el navegador no debe abrir una página que no tenga una conexión HTTPS y debe redirigir a los usuarios de la versión HTTP del sitio a la versión HTTPS del sitio cuando sea posible. Implementar este tipo de política en todos los dispositivos propiedad de la empresa evita que los usuarios visiten sitios web no seguros, ya que significa que no podrán abrir una página con una conexión HTTP.

Todos los sitios web utilizan cookies para identificar y recordar a los usuarios durante el transcurso de su sesión. Habilitar las cookies seguras para todos los usuarios de su empresa significa que todas las cookies que utilicen sus navegadores tendrán atributos seguros y solo podrán enviarse a través de conexiones HTTPS seguras, no de conexiones HTTP inseguras.

Por último, educar a los usuarios sobre las posibles vulnerabilidades también puede ayudar mucho. Uno de los mayores puntos de educación es instruir a los usuarios para que no se conecten a redes wifi públicas y utilicen siempre una conexión VPN en su lugar. Además, es útil compartir señales de advertencia con los usuarios, como animarles a comprobar la URL de cualquier sitio web que visiten para asegurarse de que muestra HTTPS en lugar de HTTP y prestar atención al candado en la barra de URL, que estará desbloqueado o en rojo si la conexión no es segura.