La cantidad de datos personales que circulan por Internet cada vez es mayor, aunque la seguridad con que se tratan no aumenta al mismo ritmo. Muchas aplicaciones y servicios web ponen en riesgo la información de los usuarios que se registran en sus páginas al no trabajar con ningún sistema de cifrado para protegerla.
Ante esta situación, el ingeniero informático Tony Webster ha creado una página web para señalar a los que hacen un uso tan temerario de los datos. En HTTP Shaming aparecen los nombres de los ‘sites’ y se indica de qué forma vulneran la privacidad. Si abusan de la confianza de sus clientes, es justo que estos lo sepan.
Uno de los nombres que aparecen en la web es el de Mashable. Según informa Webster, la página de noticias permite a los usuarios conectarse mediante las cuentas de usuario de sus redes sociales e interactuar a través de ellas. El problema es que toda esta actividad se produce bajo una dirección ‘HTTP’, en vez de utilizar el protocolo seguro de Internet HTTPS, que transmite la información cifrada con el sistema SSL (de ‘Secure Sockets Laver’ o capa de conexión segura, en español).
Un certificado SSL garantiza que las comunicaciones a través de la red son fiables. Funciona asignando claves a los archivos que intercambian el ordenador del cliente y el servidor de la empresa que presta el servicio, de manera que solo ellos podrán acceder a su contenido.
Si utilizas el servicio que ofrece Mashable mientras estás conectado a una red WiFi abierta, como las de muchos sitios públicos, un cibercriminal podría acceder a tu dirección de correo, alias y contraseñas (tanto de Mashable como de las redes sociales con las que accedes a la página).
Otro caso es el de la página para organizar viajes TripIt, que permite gestionar reservas, consultar horarios e itinerarios de vuelo, y compartirlo todo con otras personas.
Tanto en la versión para móviles como en la web, lo primero que pide TripIt al usuario es su dirección de correo electrónico y una clave de acceso. El informático la señaló por no cifrar la información que se mostraba a otros mediante la aplicación de calendario. Al igual que ocurre con Mashable, podrían averiguar su nombre completo, número de teléfono, e-mail y las últimas cuatro cifras de su tarjeta de crédito.
Los responsables del ‘site’ ya han notificado este verano que el problema está solucionado y que ha terminado de aplicar las medidas de seguridad necesarias a todas sus comunicaciones.
Este tipo de prácticas poco seguras se dan también en otras páginas de comercio electrónico, donde el consumidor y la compañía envían información más delicada. Una investigación de la consultora de seguridad informática High-Tech Bridge demostraba que el 73% de las 100 páginas más importantes de compras por internet no usan el protocolo HTTPS para los datos que consideran menos comprometedores, y solo dos de ellas lo aplican en todos los casos.
Y lo mismo ocurre en las aplicaciones que se ejecutan en los móviles. En un estudio publicado recientemente por HP, un grupo de expertos de la compañía analizó las medidas de seguridad que tomaban 2.107 aplicaciones móviles y encontraron que el 75% de ellas no cifraban la información que almacenaban. El 18% tampoco lo hacía con la que intercambiaban en la Red.
La lista acusadora de Webster ya cuenta con 19 nombres, muchos de ellos aportados por otras personas que querían participar en el proyecto, entre los que también se encuentran Creative Cloud, VLC y Adobe Flash Player. Hasta la plataforma de ‘microblogging’ Tumblr, donde se ubica la página de HTTP Shaming, carece del protocolo seguro. En los casos más graves, el creador de la página ha preferido contactar antes con las compañías para avisarles de que no están actuando de la mejor manera.
Webster no entiende por qué ciertas empresas hacen correr riesgos innecesarios a sus clientes, ya que no hay razón para no utilicen el HTTPS, disponible para cualquiera que ofrezca sus servicios en Internet.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
