¿Por qué necesita VPN para mantenerse a salvo en WiFI público (HTTPS no es suficiente)

La mayoría de los sitios web ahora usan HTTPS para cifrar su conexión y agregar una capa adicional de protección a sus datos. Pero si está en una red WiFi pública, usar HTTPS sin una VPN significa que algunos de sus datos seguirán siendo vulnerables..


Editar: una versión anterior de esta publicación de blog podría haberse malinterpretado ya que implica que TLS 1.2 se ha roto. Hemos eliminado la sección que puede causar esta confusión..

El protocolo seguro de transferencia de hipertexto, o HTTPS, cifra el tráfico entre su dispositivo y un sitio web, lo que dificulta a los intrusos observar la información que se comparte. También proporciona firmas, o certificados HTTPS, que le permiten verificar que el sitio en el que se encuentra está administrado por quien dice ser. HTTPS se ha convertido en una característica de seguridad estándar para casi todos los sitios web.

Si HTTPS cifra su conexión con un sitio, ¿no es seguro el WiFi público? Desafortunadamente, HTTPS no cifra todos sus datos, como las consultas DNS. Si está utilizando WiFi público sin una VPN, se está poniendo en riesgo.

Cómo funciona HTTPS

HTTPS utiliza el protocolo de Seguridad de la capa de transporte (TLS) para asegurar la conexión entre un navegador web y un sitio web. Un protocolo es simplemente un conjunto de reglas e instrucciones que rigen cómo las computadoras se comunican entre sí. El protocolo TLS es la columna vertebral de la seguridad de las conexiones en línea. Es lo que le permite ingresar sus credenciales de inicio de sesión, navegar por sitios web o realizar operaciones bancarias en línea sin que otros vean el contenido..

TLS utiliza criptografía de clave privada. Una clave es simplemente un código para computadoras involucradas en la transmisión de mensajes, y una clave privada es aquella que no está abierta al público. Para garantizar la integridad de su conexión, su navegador y el servidor de Internet inician un “apretón de manos” al compartir una clave pública. Una vez que se establece el protocolo de enlace, el servidor y el navegador negocian claves privadas para cifrar su conexión. Cada conexión genera su propia clave privada única, y la conexión se cifra antes de que se transmita un solo byte de datos. Una vez que el cifrado está en su lugar, los intrusos no pueden monitorear o modificar las comunicaciones entre el navegador web y el sitio web sin ser detectados.

TLS también proporciona certificados digitales que autentican las credenciales de los sitios web y le permiten saber que los datos provienen de una fuente confiable (o de un sitio que dice ser uno). Un certificado digital es emitido por una autoridad de certificación.

Este sistema todavía tiene ciertas vulnerabilidades, como veremos más adelante, pero se considera seguro. La primera vulnerabilidad a la que lo expone el WiFi público sin una VPN es el hecho de que TLS no protege las consultas del sistema de nombres de dominio (DNS) (todavía).

¿Qué es una consulta DNS??

El sistema de nombres de dominio traduce las URL amigables para los humanos en direcciones IP numéricas que las computadoras pueden entender. Por ejemplo, para visitar nuestro sitio, escriba la URL www.protonvpn.com, pero su computadora lo ve como [185.70.40.231]. Para encontrar este número, su navegador web utiliza lo que se llama un solucionador de DNS, que generalmente es suministrado por su proveedor de servicios de Internet. Piense en este solucionador como un compinche que se apresura a traducir la URL del sitio que desea visitar a su dirección IP.

Su solicitud de DNS no está encriptada. Un intruso puede observar sus consultas de DNS y las respuestas de su solucionador de DNS a ellas. Esto nos lleva al primer ataque que podría sufrir si usa WiFi público sin una VPN: fugas de DNS.

Fuga de DNS

Si alguien supervisara sus consultas DNS, tendrían una lista de todos los sitios que visitó junto con la dirección IP de su dispositivo. Dada la débil seguridad de la mayoría de los puntos de acceso WiFi públicos, sería relativamente simple para un intruso obtener acceso a la red y luego registrar sus consultas DNS. Sus datos aún podrían estar en riesgo, incluso si no hay intrusos porque el solucionador en el WiFi público podría recolectar sus propios datos..

Falsificación de DNS

Una fuga de DNS le permite a un intruso monitorear su actividad, pero si un atacante falsifica sus solicitudes de DNS, puede redirigirlo a un sitio malicioso que controle. También conocido como envenenamiento de DNS, esto sucede cuando un atacante finge ser su solucionador de DNS. El atacante luego falsifica la dirección IP de un sitio web objetivo y la reemplaza con la dirección IP de un sitio bajo su control. La URL sería la misma que el sitio que pretendía visitar, pero el sitio estaría bajo el control del atacante. Los navegadores modernos generalmente alertarán a los usuarios de que están en un sitio sin HTTPS, y este ataque no funcionará para los sitios HTTPS que tienen un certificado.

Sin embargo, con una variación de la suplantación de identidad de DNS, un atacante podría enviarlo a un sitio con una URL ligeramente diferente de la que tenía intención de visitar. Piense en “protomvpn.com” en lugar de “protonvpn.com”. Además, este tipo de sitio falso puede usar HTTPS y tener un certificado válido. Su navegador mostraría un candado verde al lado de la dirección, haciendo que sea más difícil de detectar.

Punycode

Desafortunadamente, con los recientes ataques de Punycode, los piratas informáticos han encontrado la manera de crear dos sitios web con la misma URL y un certificado HTTPS válido. Punycode es un tipo de codificación utilizada por los navegadores web para convertir todos los diferentes caracteres Unicode (como ß, 竹 o Ж) en el conjunto de caracteres limitado (A-Z, 0-9) admitido por el sistema de nombres de dominio internacional. Como ejemplo, si un sitio web chino utilizara el dominio “竹 .com”, en Punycode, eso estaría representado por “xn--2uz.com”.

Los intrusos descubrieron que si invierte el proceso e ingresa los caracteres de Punycode como dominio, siempre que todos los caracteres provengan de un único conjunto de caracteres de idioma extranjero y el dominio de Punycode coincida exactamente con el dominio de destino, los navegadores lo mostrarán en el lenguaje normal del dominio de destino. En el ejemplo utilizado en el artículo de The Hacker News vinculado anteriormente, un investigador registró el dominio “xn--80ak6aa92e.com” que apareció como “apple.com”. El investigador incluso creó este sitio falso de Apple para demostrar lo difícil que es distinguir los sitios usando solo la información de URL y HTTPS.

Como lo demuestra el ejemplo del investigador, un sitio de Punycode puede implementar HTTPS y recibir un certificado válido, lo que hace que sea muy difícil detectar que estás en un sitio falso. Solo examinando los detalles reales en el certificado HTTPS puede diferenciar entre “xn--80ak6aa92e.com” y “apple.com”.

Afortunadamente, muchos navegadores ya han abordado esta vulnerabilidad y la mayoría ahora mostraría la dirección como xn--80ak6aa92e.com

Use una VPN en WiFi público

Estas son solo algunas de las vulnerabilidades que enfrenta cuando utiliza una red WiFi pública no segura. Incluso si visita un sitio legítimo con HTTPS correctamente aplicado, podría contener imágenes o scripts de sitios no protegidos por HTTPS. Un atacante podría usar estos scripts e imágenes para enviar malware a su dispositivo.

Una VPN confiable puede protegerlo de todas estas vulnerabilidades. Una VPN encripta su tráfico y lo enruta a través de un servidor VPN, lo que significa que su proveedor de servicios de Internet (o el propietario de un punto de acceso WiFi malicioso) no puede monitorear su actividad en línea. Este cifrado adicional protegerá su conexión de un ataque de degradación de TLS.  

Los servicios VPN completos, como ProtonVPN, también ejecutan sus propios servidores DNS, para que puedan cifrar y procesar sus consultas DNS. Las aplicaciones de ProtonVPN lo protegen de una fuga de DNS al obligar a su navegador a resolver consultas DNS a través de nuestros servidores DNS. Incluso protegemos sus consultas DNS si está desconectado. Nuestra función Kill Switch bloquea instantáneamente todas las conexiones de red si está desconectado de su servidor VPN, evitando que sus datos estén expuestos.  

El plan VPN gratuito de ProtonVPN ofrece a todos una forma gratuita y sencilla de proteger su conexión a Internet contra estos ataques. Con nuestro servicio VPN gratuito, nunca más tendrá que usar WiFi público sin una VPN.

Atentamente,
El equipo de ProtonVPN

Twitter | Facebook | Reddit

Para obtener una cuenta de correo electrónico cifrada ProtonMail gratuita, visite: protonmail.com


Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me