El 75% de los sitios web seguros son inseguros

No sirve de nada tener una puerta blindada a prueba de bombas si dejas la llave debajo del felpudo o en el alfeizar de la ventana. Con la web ocurre lo mismo, no sirve de nada instalar SSL (el protocolo para hacer seguras la comunicación web) si tu servidor está mal configurado.

El protocolo SSL se reconoce facilmente porque las webs que lo utilizan su url empieza por “https://” en lugar del habitual “http://”. La función de SSL es, por un lado, autentificar el servidor web al que nos estamos conectando, esto es, asegurar que nos estamos conectando al sitio indicado y no a uno falso que ha usurpado su identidad; y por otro lado, encriptar la comunicación para asegurar que nadie puede “escuchar” lo que estamos enviando.

Es decir, que en teoría nos podemos conectar a una web con SSL sin ningún miedo, pero en la práctica las cosas son algo mas complicadas. Desde su aparición en 1996, SSL ha sufrido varios fallos de seguridad que las sucesivas versiones del protocolo han ido corrigiendo, con lo que hoy día se considera seguro. Sin embargo, si se utilizan aplicaciones mal configuradas o sin actualizar, nuestro servidor web seguro puede no serlo tanto.

Trustworthy Internet es una asociación que tiene como objetivo mejorar la seguridad en Internet, para lo que de forma periódica el SSL Pulse, que consiste en analizar la configuración SSL de mas de cien mil sitios web para determinar si están correctamente configurados.

Trustworthy ha publicado los resultados de su último análisis y los datos no pueden ser mas demoledores: De 198.216 sitios analizados, solo 19.024 están correctamente configurados, apenas un 10%.

Las pruebas realizadas son las siguientes:

  • Sitios con una cadena de certificados incompleta: 8%. Los certificados sirven para certificar la identidad de un sitio web; pero para que el certificado sea válido es preciso que el certificado esté firmado por una autoridad reconocida, es lo que se llama la cadena de certificación. Un 8% de los sitios evaluados por Trustworthy tienen mal esta cadena, lo que significa que al visitarlos nuestro navegador no podrá validar el certificado y, en consecuencia, nos dará una alerta de que el sitio no es de confianza.
  • Sitios que soportan algoritmos de cifrado débiles: 40%. Los algoritmos de cifrado débiles son aquellos para los que se sabe se pueden romper. Que un servidor soporte estos algoritmos no implica que los vaya a utilizar, porque los algoritmos seguros tienen prioridad, pero la ley de Murphy nos advierte que, si están instalados, estos algoritmos se acaban usando cuando resulte mas peligroso hacerlo.
  • Sitios que soportan SSL version 2.0: 33%. Como mencionaba al principio del artículo, las versiones mas antiguas de SSL tienen fallos de seguridad conocidos, así que ningún servidor debería tenerlas activadas. Al igual que en el punto anterior, las versiones modernas de SSL tienen prioridad por lo que tener activa esta versión no implica que nuestros visitantes la vayan a utilizar, pero aun así lo recomendable es que esté desactivada.
  • Sitios con certificados con validación extendida: 8%. Como he dicho al principio, una de las funciones del protocolo SSL es certificar la identidad de un sitio. El problema es que cuando hablamos de “certificar” queremos decir únicamente que si tecleamos “www.sitio.com” realmente nos estamos conectando a “www.sitio.com”, pero no tenemos ninguna garantía que los dueños de esta web sean gente honesta; esto es, por mas que la conexión sea SSL el sitio puede ser propiedad de un pirata distribuidor de virus y troyanos. Para solucionar este problema se crearon los certificados con validación extendida; estos certificados se conceden tras verificar la identidad del solicitante y certificar que no es un delincuente. Utilizar certificados con validación extendida no hace que nuestro sitio sea mas seguro, pero si que sirve para dar una imagen mas seria y responsable.
  • Método de distribución de clave fuerte: 81%. Esto se refiere a la calidad del algoritmo RSA utilizado. RSA es el algoritmo que se usa para intercambiar las claves de cifrado entre el servidor web y el navegador; este algoritmo tienen a su vez una clave que, según las normas de seguridad, debe tener un tamaño mínimo de 1024 bits, por debajo de esa cifra el algoritmo está roto y se puede robar la clave intercambiada, aunque se recomienda usar claves de 2048 bits. El 81% de los sitios analizados utilizan RSA con clave de 2048 bits, el resto utiliza claves de 1024 bits, lo que se considera razonablemente seguro y se han detectado unos pocos sitios que usan claves de longitud menor, que se consideran altamente inseguros.
  • Renegociación segura de clave: 71%. Para mejorar la seguridad de SSL, cada cierto tiempo el navegador y el servidor web cambian la clave de cifrado; la nueva clave se establece usando el llamado protocolo de renegociación. La primera versión de este protocolo tenía un fallo de seguridad que fue corregido el año 2009; un 71% de los servidores utilizan la versión corregida del protocolo, pero queda un 13% que usan la versión sin corregir. La mayoría de los sitios restantes no soportan la renegociación de clave (Usan la misma clave durante toda la conexión) y hay un puñado que soportan tanto el protocolo seguro como el inseguro.
  • Vulnerables al ataque BEAST: 75%. Esta es la clave del estudio y la cifra que he puesto en el título del artículo. BEAST es un ataque contra el protocolo SSL que se basa en una vulnerabilidad descubierta en el año 2004. Como vemos, la gran mayoría de los servidores web son vulnerables a este ataque.

FUENTE: Trustworthy Internet.

Related Posts Plugin for WordPress, Blogger...
Be Sociable, Share!
Widget By Best Accounting Services