Como no dejarse “robar las contraseñas” de Facebook, Gmail, Twitter, Hotmail o cualquier web o correo con Firesheep

FiresheepHace unos días apareció una extensión para el navegador web Firefox llamada Firesheep, que te permite con una enorme facilidad “robar contraseñas” que vayan por la red wi-fi de forma desprotegida. Si estás en la cafetería y te conectas a su red inalámbrica sin cifrar (que no utiliza clave WEP o WPA, sino que está abierta) y luego entras en tu cuenta de Facebook, Gmail, Twitter o cualquier otro servicio web, cualquiera que está conectado a tu misma red y esté usando Firesheep puede convertirse en ti.

Firesheep consigue esto porque cuando te conectas a un sitio web las credenciales de usuario y contraseña sólo se envían una vez al principio (de forma cifrada), y luego lo que se utiliza es una cookie de autenticación, que muy a menudo viaja sin cifrar, y que es lo que roba Firesheep. Cualquiera que tenga tu cookie es, para la web en la que te has autenticado, tú. De esta forma, usando la extensión de firefox Firesheep, se puede realizar con enorme facilidad en una red wifi abierta un ataque HTTP session hijacking, que aunque no sea realmente un rodo de usuario y contraseña, porque el atacante no descubre tu clave directamente, sí que es un robo de identidad.

La solución para evitar este robo de identidad consiste en utilizar continuamente el cifrado que ofrece HTTPS, por ejemplo en el navegador Firefox usando la extensión HTTPS Everywhere, que forzará algunos de los sitios más populares (y los que tu quieras configurar) a utilizar una conexión segura, que impedirá que nadie te robe la identidad.


Comentarios

Como no dejarse “robar las contraseñas” de Facebook, Gmail, Twitter, Hotmail o cualquier web o correo con Firesheep — 1 comentario

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>