Las conexiones a Internet están cambiando, y en la mayoría de los casos para mejor. En los últimos años hemos visto cómo el tráfico cifrado está ganando un gran protagonismo a la hora de conectarnos a páginas web de manera que las conexiones viajen de extremo a extremo de forma cifrada y, salvo el servidor, nadie pueda hacerse con esta información. Sin embargo, los piratas informáticos también han encontrado la forma de aprovecharse del tráfico cifrado para llevar a cabo ataques informáticos, ataques que, además, son muy complicados de detectar.

En teoría, las conexiones HTTPS se caracterizan por viajar cifrada de extremo a extremo de manera que nadie pueda capturar, analizar y modificar ese paquete sin el permiso y los certificados adecuados. Sin embargo, muchas veces confiamos en el tráfico cifrado pensando que es “seguro” pero sin probar que realmente lo sea.

Un malware en un servidor remoto, o un pirata informático en un punto intermedio de la conexión pueden, sin mucha dificultad, capturar el tráfico, analizarlo y modificarlo incluso sin levantar sospechas, lo que puede suponer un peligro para nuestra seguridad.

Una muestra de ello son los antivirus capaces de analizar las conexiones HTTPS. Como ya explicamos en su día, los antivirus descifran el tráfico HTTPS para analizarlo y, después, lo vuelven a cifrar con sus propios certificados (una barbaridad, hablando en términos de seguridad) para que siga su curso, hacia el servidor host o hacia el remoto. Esto, en teoría, no debería ocurrir de ninguna manera, pero igual que los antivirus pueden descifrar y volver a cifrar el tráfico sin que nos demos cuenta de ello, cualquier usuario, con los conocimientos suficientes, podría hacerlo.

Por un lado, los antivirus nunca deberían interceptar y analizar el tráfico cifrado, aunque, por otro lado, gracias a estas técnicas podremos estar seguros de que, además del antivirus, otra aplicación o persona no ha interceptado el tráfico y está espiando nuestra red a través de él.

En el caso de las empresas, los túneles privados y el tráfico cifrado son mucho más peligrosos de lo que parecen

Además de los peligros a los que se enfrentan todos los usuarios, los piratas informáticos también se aprovechan del tráfico cifrado de las empresas, especialmente en las conexiones virtuales, o VPN. La mayoría de las empresas suelen confiar siempre en este tipo de conexiones y, por ello, no las aplican las correspondientes medidas de seguridad, por lo que si un pirata informático consigue conectarse a una de estas redes puede tener acceso completa a la red de la empresa incluso sin levantar sospechas.

La mayoría de las conexiones VPN, además, basan su seguridad en las capas Secure Sockets Layer (SSL) y Transport Layer Security (TLS) que, aunque establecen conexiones seguras entre un cliente y un servidor, un pirata informático que consiga acceso puede realizar un ataque MITM para monitorizar todo el tráfico cifrado y robar los datos de las víctimas. Las conexiones Internet Protocol Security (IPsec), aunque son más complicadas de explotar, también pueden facilitar un punto de entrada a piratas informáticos. Los túneles SSH también son objetivos muy perseguidos por los piratas informáticos ya que este tipo de conexiones puede brindar acceso completo a toda la empresa, incluso a los servidores.

Una vez que el pirata informático está dentro de la red, por muy cifrada que esta esté, podría utilizar las conexiones de confianza de otros trabajadores para controlar y modificar el tráfico, así como para capturar credenciales y todo tipo de información confidencial que le podría brindar acceso ilimitado a toda la red de la empresa.

¿Crees que usuarios y empresas confían demasiado en las conexiones cifradas por el mero hecho de estar “cifradas”?