El HTTPS o (Protocolo seguro de transferencia de hipertexto) es un protocolo de red que permite que los datos que viajen desde el navegador del usuario hasta el servidor de página web y viceversa, lo hagan cifrados para que no puedan ser vistos por personas ajenas a la conexión.

Para las personas que se dedicaban (o no) al robo de información y a ver conexiones sin permiso en otras épocas se requería de bastante más trabajo que lo que se necesita en muchos casos ahora. El tema es que antes del advenimiento de las redes WiFi se requería poder estar físicamente en contacto en alguno de los puntos donde la información fluía. El WiFi ha permitido que sea mucho más simple capturar información y con las nuevas tecnologías de antenas y transmisores, hasta se puede realizar a considerable distancia.

Es por esto que sorprendía mucho que una empresa como Google siguiera ofreciendo un servicio tan sensible como el correo sin utilizar mecanismos en cifrado. El servicio de Gmail no tenía posibilidad de acceder vía HTTPS, lo cual permitía que se comprometieran los datos que viajan en plano desde el usuario al servidor.
Pasado un tiempo Google comprendió que se requería el servició de HTTPS y lo habilitó como un opcional. Aunque era un paso adelante, la mayoría de los usuarios no tenía consciencia de este servicio y seguían usando el sistema sin cifrado.

A partir de unos días atrás Google esta ofreciendo en forma predeterminada el servicio de HTTPS en GMAIL, con lo cual se cierra un posible compromiso (o se hace más difícil de acceder ) para los mails de los usuarios.
En buena hora. Solo hace falta que los usuarios comprendamos que la seguridad de nuestros datos es un proceso que requiere primero entender que es lo que se necesita proteger y luego implementar las medidas para hacerlo.

Marsh Ray y Steve Dispensa dicen haber descubierto una vulnerabilidad en el protocolo SSL y TLS que podría permitir inyectar texto en una conversación cifrada si el atacante tiene acceso al tráfico. El fallo se encontraría en el protocolo en sí, y por tanto afectaría a prácticamente todas las implementaciones de todos los sistemas. Sin embargo otras voces indican que quizás el fallo no sea tan grave.

Read More

Nuevos kits de herramientas para “Phishing”, disponibles a bajo costo en los callejones oscuros de Internet, están siendo utilizados por atacantes para tener un alcance mas amplio en el engaño a personas que creen visitar sitios legítimos, acorde a una investigación realizada por Symantec Corp.

“Los últimos kits de herramientas para “Phishing” utilizan certificados SSL (Secure Sockets Layer) para simular ser un sitio legítimo”, dijo Zahid Raza, investigador de Symantec. Los “Cyber-Criminales” utilizan estas herramientas para penetrar en un servidor web comprometido e instalar sus páginas-trampa (phishing) en dichos servers, asegurándose que la información contenida en el certificado identifica la página como legítima.

Read More