¿Qué tan seguras están sus cuentas privadas en las redes públicas?

Si usted utiliza con frecuencia redes Wi-Fi no seguras debería saber que cualquier persona conectada a la misma red puede robar sus credenciales de acceso a esos sitios.
Aún si esos potenciales husmeadores no tienen conocimiento técnico; desde hace dos semanas basta con instalar un aditamento para Firefox llamado Firesheep, presionar un botón y esperar unos minutos para obtener un listado de credenciales de acceso de otros usuarios a sitios como Facebook, Twitter, Flickr e incluso Google y Amazon.

Butler hace un enérgico llamado de atención

Eric Butler, quien creó la extensión para robar credenciales de portales famosos y la presentó a finales de octubre en la conferencia de hackers y seguridad informática ToorCon de San Diego, no es un anarquista cibernético.

Al contrario: el desarrollador de software y aplicaciones lleva años abogando por que se haga algo para corregir uno de los mayores agujeros de seguridad en las redes Wi-Fi públicas. El problema consiste en que los ordenadores conectados a estas redes envían las credenciales necesarias para conectarse a Facebook, Twitter, Google y otros miles de servicios a través del aire, y cualquier otro equipo conectado a la red puede detectarlas.

Con la esperanza de que este problema al fin sea tomado en serio por los grandes desarrolladores de la Red, Butler creó Firesheep: un aditamento para Firefox que está pendiente de estas transferencias y, cuando descubre una, la almacena y muestra un recuadro con el nombre de la víctima y el logotipo del portal al que accedió.

En adelante bastará con hacer clic sobre el recuadro para acceder a ese portal suplantando a la víctima.

¿Cuán implementable es SSL?

La tecnología que podría evitar que sus credenciales sean robadas por cualquier persona en la misma red Wi-Fi pública a la que esté conectado se llama SSL o HTTP Seguro: un protocolo de transferencia de información encriptada.

Pero hay malas noticias. Usar SSL no depende de usted, sino de las compañías que desarrollan los portales y servicios que usted utiliza. Las mismas empresas que hasta hoy han preferido dejar de lado la tecnología porque, como es fácil de suponer, procesar datos encriptados eleva los costos de funcionamiento de sus servidores y aumenta el tiempo de carga de sus páginas.

A estos problemas responde Chris Palmer, encargado de la tecnología de administración segura de sesión para aplicaciones Web en la firma iSEC Partners, quien ha trabajado en el pasado con Gmail y Yahoo!.

En un documento llamado “Bajo costo, alto rendimiento, seguridad fuerte: elija hasta tres” Palmer afirma que las empresas no tienen que multiplicar sus costos de procesamiento implementando un sistema de seguridad paranoico; basta con usar SSL de forma inteligente para incrementar la seguridad a un nivel aceptable sin incurrir en grandes sobrecostos.

En cuanto al tiempo de carga de sus portales Palmer sugiere que la mayoría de portales tiene varias áreas susceptibles de optimización que compensarían la demora que el uso de SSL genera ineludiblemente.

Reacción positiva inducida

Firesheep, inicialmente disponible para las versiones de Firefox en Windows y Mac OS X y que ahora también funciona con su versión para Linux, ha sido descargado por más de 622 mil personas.

Como Gary LosHuertos, un blogero que usó la herramienta para acceder a la cuenta de Amazon de otro cliente en un local de Sarbucks y luego dejar un mensaje de Facebook desde su propia cuenta, con un listado de los últimos artículos que había comprado.

Este número de usuarios ahora conscientes del peligro que corren sus credenciales digitales parece haber resonado más que los argumentos de los expertos en implementación de SSL en las oficinas de seguridad de los mayores servicios de la Red.

Esta semana Twitter contactó a la periodista Kashmir Hill de la revista Forbes para declarar que “Dar a los usuarios una experiencia segura en Twitter es increíblemente importante para nosotros. En el momento exploramos caminos para aumentar la seguridad de los usuarios en este aspecto”.

La periodista también habló con empleados de Facebook que aseguraron que los ingenieros del sitio ya trabajan para implementar SSL.

Microsoft tuvo una de las respuestas más rápidas: la empresa anunció que antes del final del mes Hotmail utilizará SSL, aunque inicialmente será una opción y no estará activada por defecto.

Google pierde $8 millones y medio con Buzz

 Los usuarios del cliente de correos de Google se enteraron esta semana de que el gigante del Internet resolvió fuera de las cortes la demanda que antepusieron en su contra los ciudadanos de Estados Unidos: la empresa envió un correo a todos los usuarios de Gmail indicando que consignaría “$8 millones y medio de dólares a un fondo independiente, la mayor parte de los cuales apoyará organizaciones que promueven la educación sobre la privacidad en la Red”.

El episodio es el desenlace de lo que fue la abrupta entrada de Google al mundo de las redes sociales; la empresa invitó a todos sus usuarios a unirse a Buzz, su plataforma para compartir vínculos de Internet interesantes y mensajes cortos con sus familiares y amigos.

Pero no pasó mucho tiempo antes de que los usuarios de Buzz notaran que la empresa había utilizando su tecnología para llenar automáticamente sus listas de amigos en la plataforma, analizando con cuáles de sus contactos de Gmail interactuaban con mayor frecuencia. En otras palabras: Google hizo pública información que sólo debía ser conocida por sus usuarios.

Un arreglo rápido del problema en la plataforma no alcanzó a salvar a la empresa de decenas de quejas, que finalmente tomaron la forma de una queja oficial ante la Comisión Federal de Comunicaciones de Estados Unidos y una demanda penal en California.

Las dificultades sociales no terminan allí para Google, cuya anterior plataforma social, Orkut, ha perdido terreno contra Facebook en Brasil e India, países donde tuvo una enorme adopción inicial.
Fuente