HTTPS se ha convertido casi en algo obligatorio para una página web si quiere posicionar bien en Google, así como ganarse la confianza de los usuarios. Sin embargo, hay hackers que cuentan con páginas web HTTPS falsas con su correspondiente candado verde, y otras tantas cuentan con vulnerabilidades que las convierten en inseguras, tal y como ha demostrado un estudio.

HTTPS protege las webs que visitamos a diario, pero algunas de ellas no lo tienen bien implementado

Con HTTPS, se utiliza TLS (Transport Layer Security), que cifra los datos entre tu navegador y el servidor web con el que se comunica, manteniendo segura toda la información que viaja por la red, incluyendo las contraseñas. A pesar de ello, el estudio llevado a cabo por la Universidad de Venecia en Italia y la Tu Wien de Austria en las 10.000 páginas web más visitadas de la red (según Alexa) muestra que el 5,5% tiene vulnerabilidades explotables en TLS. El fallo radica por la forma en la que está implementado el cifrado TLS, además de que muchas webs no parchean fallos conocidos, tanto en TLS como en su antecesor SSL.

Los fallos encontrados los agruparon en tres tipos. El primero es el menos grave de todos, ya que es difícil que un atacante pueda aprovecharlo porque requiere iniciar la misma solicitud al mismo tiempo varias veces para encontrar pequeñas filtraciones de datos, aprovechando que la cookie va junto con cada solicitud. Una contraseña se envía solo una vez en lugar de varias veces.

Las otras dos sí que son más peligrosas. Estas dos vulnerabilidades permiten descifrar todo el tráfico que se envía del navegador a los servidores de la web que visitamos, y una de ellas va un paso más allá e incluso permite modificar ese tráfico. Por tanto, tenemos un ataque man-in-the-middle en HTTPS, a pesar de que este protocolo buscaba precisamente evitar este tipo de ataques.

Por ello, a pesar de lo obvio de no gestionar las cookies en el propio servidor web de manera inadecuada, o no implementar un TLS de manera decente, hay cientos de páginas web que no lo hacen bien, y lo más grave es que estas páginas se encuentran entre las más visitadas del mundo.

La interconexión de la red también transmite estos fallos

La clave de estos fallos también está en la interacción de esas páginas. Puede que la página “Ejemplo.com” tenga una implementación correcta, pero si esa página interactúa con “mail.ejemplo.com”, entonces la conexión cifrada entre ambas será igual de mala que la que peor lo tenga implementado. En la red hay muchas páginas interconectadas, y por ello las vulnerabilidades pueden amplificarse.

De hecho, los investigadores descubrieron 91.000 dominios relacionados o subdominios con los 10.000 más visitados de la red. Por ello, el 2,92% de los fallos viene de manera directa de los dominios, y el 2,58% restante viene de 5.282 dominios relacionados. De ellos, 4.800 fallos son considerados como graves que permiten modificar el contenido de las webs, por 733 del segundo más grave que permite descifrar, pero no modificar. Del menos grave había 912 fallos.