La seguridad de las conexiones SSL podría verse comprometida

Las conexiones online confidenciales, como las transacciones que se hacen desde hotspots Wi-Fi públicos, adolecen de brechas de seguridad aunque se les hayan instalado las últimas actualizaciones que se supone resolverían estos problemas. El agujero implica que los atacantes pueden merodear por lo que las víctimas piensan son sesiones SSL seguras con sus bancos, supermercados y otras webs, robando claves y otra información que puede ser utilizada posteriormente para robar dinero de sus cuentas o datos confidenciales, indican los investigadores Mark Zusman, consultor de la firma Intrepidus, y Alexander Sotirov, experto independiente. Ambos participarán en la próxima edición de la Conferencia Black Hat, del 25 al 30 de julio en Las Vegas.

Actualmente existe un método mejorado para los certificados SSL – llamado Extended Validation SSL (EV SSL)- que convierte la barra de direcciones del navegador en color verde garantizando a los usuarios que la conexión que está realizando emplea certificados EV SSL; en definitiva, indica que los usuarios se están conectando con un negocio legítimo y no a un hacker. Para lograr eso, la entidad que obtenga el certificado SSL se habrá sometido a un escrutinio previo y cualificado para obtener el certificado.

Sin embargo, la barra verde puede esconder el hecho de que el navegador se conecta con certificados SSL aprobados mediante la versión tradicional y menos segura del sistema de expedición de certificados, llamada validación de dominios (DV, por sus siglas en inglés), que no garantiza que este tipo de criterios de validación mejorados se cumplan, concluye Zusman. Por tanto, esas conexiones DV pueden verse comprometidas por los ciberdelincuentes.

Cómo funciona el ataque

Para aprovechar esta debilidad, los hackers podrían sentarse con sus portátiles en zonas Wi-Fi públicas y comprometer los hotspots wireless usando métodos bien conocidos, como la suplantación del dominio o del ARP o atacando las plataformas de gestión.

Controlando el DNS del punto de acceso, los hackers pueden establecer sus máquinas en medio de la conexión y monitorizar lo que hacen las víctimas logadas en el access point. Así, pueden dejar que se conecten a sites EV SSL, señalizados con barras verdes, y después redireccionar la conexión a una sesión DV SSL con certificados tomados de forma ilícita, si bien el navegador seguirá mostrando la barra verde. “La víctima no percibe los signos de que algo malo esté sucediendo salvo que miren la sesión SSL EV en el certificado que se sirve”, explica Zusman, algo que normalmente no hacen.

La agresión también puede ser aprovechada por los ciberdelincuentes para instalar malware en los navegadores de los afectados, con el que podrían capturar passwords más tarde, cuando accedan a sitios sensibles desde redes seguras que los hackers no han crackeado, explican los expertos.

Muchas webs son híbridas a la hora de solicitar EV SSL en el acceso, pero los elementos de las páginas están protegidos por certificados DV SSL. O lo que sucede en sitios como el servicio Google Analytics, que no requiere EV SSL para acceder a los datos de los clientes, pero esos datos pueden formar parte de una página web que sí exige certificados EV SSL para entrar.

“La solución requiere algunos cambios básicos en el modo en el que los navegadores gestionan los certificados EV”, explica Satirov. Si los elementos de una página emplean certificados DV SSL, el navegador podría no desplegarlos, rompiendo la página desde la perspectiva del usuario. “No invalidaría todo el site sino solo la página con contenidos de servidores de terceros que no sean EV SSL”.

El problema se podría solucionar si todos los sitios web adoptaran certificados EV SSL para todos los elementos de sus páginas, incluso aquellos servidos por terceros. No obstante, esta solución requeriría que los creadores de websites al completo detectaran si todos los elementos de sus páginas utilizan certificados EV SSL. “No es un proceso de actualización, pues la Web no es buena con este tipo de upgrades”, sentencia Satirov. 

También las empresas de navegadores web deberían adaptarse. Los navegadores necesitan poder detectar y evitar la compenetración de contenidos protegidos con DV SSL con contenidos protegidos con EV SSL, explica Zusman. También deberían considerar el tipo de certificado cuando se aplican políticas que determinan cómo gestionar elementos originarios del mismo site. Una vez hechos estos cambios, un servidor web que sirva sólo contenidos protegidos con EV SSL debería, teóricamente, ser inmune a este tipo de ataques, tal y como asegura el experto. 

Con todo, solucionar la vulnerabilidad resulta complejo, aún más si todos los websites se tienen que poner de acuerdo. Por tanto, la mejor defensa parece ser evitar utilizar los inseguros puntos de las redes Wi-Fi públicas y utilizar, en su lugar, servicios 3G en los que es más difícil ejecutar este tipo de ataques.