Un grupo de investigadores revela un error en el modo en que la mayoría de los navegadores tratan las conexiones seguras.
Para hacer que las comunicaciones por internet sean seguras hay que impedir que las personas no autorizadas accedan a nuestra información secreta. Esto es más fácil decirlo que hacerlo.
En un estudio presentado esta semana en el Simposio sobre Seguridad y Privacidad IEEE, un equipo de investigadores han hecho público un error que todos los navegadores web poseían en su día y que afectaba al protocolo utilizado para hacer que las transacciones bancarias y otro tipo de operaciones delicadas fueran seguras. El problema ocurría cuando la víctima se conectaba a internet a través de un proxy, como por ejemplo un punto de acceso inalámbrico en un hotel o en una cafetería.
Aunque los investigadores acabaron su estudio en julio de 2007, mantuvieron los detalles en secreto para así dar tiempo a que los navegadores más vulnerables pudieran ser reparados y para poner a prueba navegadores nuevos. Los investigadores afirman que fueron capaces de atacar con éxito a Internet Explorer 7 y 8, Firefox 2 y 3, Opera 9, así como a Chrome Beta y 1. La naturaleza casi universal de este tipo de vulnerabilidad sugiere que se necesitan mejores métodos para proteger las comunicaciones a través de los navegadores.
“Resulta muy complicado averiguar la composición de todos estos protocolos de encriptación de punta a punta, que son muy distintos en cada una de las capas de la red,” afirma Shuo Chen, investigador de Microsoft que ayudó a destapar este tipo de vulnerabilidad.
El protocolo utilizado para asegurar los mensajes de los navegadores está basado en una idea muy simple, afirma Chen: está pensado para establecer un vínculo seguro entre el navegador del usuario y un servidor web, así como para no confiar en ningún otro punto que se encuentre por el camino. Sin embargo, y puesto que el navegador a veces tiende a confiar en la red a nivel más amplio, Chen señala que se pueden generar puntos débiles.
El grupo de Chen destapó el tipo de problema que se produce con la forma en que los navegadores web muestran la información desde las páginas de internet una vez se ha establecido un vínculo de comunicaciones seguro. Descubrieron que la mayoría de los navegadores a veces tratan los datos inseguros como si fueran parte del protocolo de seguridad. Esto significa que un proxy de internet—una máquina localizada entre el navegador y la página web—puede generar comandos que el navegador interpreta como si proviniesen de una página web segura, incluso si ese no es el caso. “En realidad, es muy difícil asegurarse de que se está utilizando una red segura,” afirma.
Por ejemplo, cuando un navegador pide acceso a una página web segura, el proxy podría devolver un mensaje de error falso que el navegador mostraría como genuino. A partir de ahí, el navegador podría ser engañado para que enviase mensajes seguros tanto al servidor legítimo como al proxy malicioso.
Adam Barth, investigador de la Universidad de California, en Berkeley, y que se dedica al estudio de la seguridad en los navegadores, afirma que este fallo que acaba de ser desvelado tiene mucha importancia ya que existen varios navegadores que comparten el mismo tipo de vulnerabilidad. “Esto demuestra que el problema es sutil,” afirma Barth. “Hay mucha gente muy inteligente que no logró darse cuenta del problema.” Añade que puesto que los navegadores son en realidad unos complejos sistemas de parte interconectadas, podría resultar útil desarrollar un tipo de herramientas que nos ayudaran a analizar cómo se mueven los datos a través de esas distintas partes. Estas herramientas nos podrían ayudar a descubrir errores similares en el diseño de los navegadores.
Barth también señala que los estándares de internet nos hubieran obligado a adoptar unos comportamientos más seguros si los expertos se hubieran parado a investigar este problema con más detenimiento.
Aunque este problema en concreto que el equipo de Chen descubrió ha sido resuelto, a Chen aún le precupa la forma en que se construyen los navegadores. Normalmente, afirma, el grupo de investigadores que se encarga de diseñar la forma en que los navegadores mostrarán las páginas trabajan de forma aislada al grupo que implementa los protocolos de comunicaciones seguros. Chen opina que la comunidad de internet debería poner más atención en cómo las distintas partes de un navegador se acaban uniendo. “No resulta fácil para el equipo que crea los navegadores tener una idea general del producto,” afirma.