SSL (Secure Socket Layer), el sistema más usado en el mundo para el cifrado de datos transmitidos vía redes informáticas, ya no es totalmente seguro. Hacker ha logrado vulnerarlo con una combinación de ingeniería social y software.

En el marco de la conferencia Black Hat, realizada en Washington DC, Estados Unidos, el hacker Moxie Marlinspike demostró la forma en que un software, combinado con técnicas de phishing (en que se induce a un usuario a acceder a un sitio adulterado), hace posible acceder subrepticiamente al sistema SSL.

El hacker demostró además un procedimiento que le permitió apoderarse de 16 números de tarjetas de crédito, acceder a 117 cuentas de Gmail e ingresar a 300 otras áreas cifradas de Internet.

Esto significa, en los hechos, que el símbolo del candado que parece en el extremo inferior derecho del navegador cuando el usuario se conecta a un sitio seguro con dirección https ha dejado de ser seguro.

Marlinspike usó el programa gratuito “SSL Strip”, instalándolo como “unidad intermedia” entre la conexión SSL y el usuario, rompiendo así la cadena de seguridad de la cual hasta ahora han dependido los pagos seguros en línea.

Las direcciones de sitios corrientes comienzan con “http“, en tanto que las páginas que transportan información cifrada comienzan con “https”, donde la letra “s” significa “seguridad”. Al usar una página https falsa, Marlinspike engañó al usuario, haciéndole creer que se estaba conectando a una página segura.

El hacker aseguró en la conferencia haber usado las páginas del sitio de pagos PayPal para obtener la información del caso. Aparte de ello habría usado Facebook, Gmail y el sitio de venta de billetes Ticketmaster.

Marlinspike aseguró haberse apropiado mediante estos sitios de la información de los usuarios, lo que le permitió a acceder a 117 cuentas de correo electrónico Gmail.

Microsoft y el fiscal general de Washington demandan a las empresas que crean asustaware. Engañan a los clientes para que adquieran su software haciéndoles creer que su ordenador está en peligro. La táctica consiste en mostrar ventanas con mensajes que alertan sobre problemas críticos con el ordenador y ofrecen la descarga gratuita de una herramienta de análisis.

El supuesto análisis siempre encuentra problemas, y ofrece al usuario la solución: pagar por un software que los elimina. Microsoft considera que estos programas no solo estafan a los usuarios que caen en el engaño, sino que perjudican la reputación de la compañía y sus productos.

Empresas como Branch Software, denunciada este lunes por Microsoft, utilizan el sistema de mensajería de Windows para enviar falsas alarmas a ordenadores conectados a Internet. El mensaje avisa al usuario de que para arreglar el problema debe descargar un programa. En el caso de Branch Software, ofrece una herramienta de “análisis” gratuita. Cuando el usuario realiza el análisis, el programa descubre 43 errores, y propone la solución: comprar Registry Cleaner XP, la aplicación creada por la misma empresa, por 39,95 dólares.

En realidad, el análisis es tan falso como la supuesta solución. En el mejor de los casos, el software no hace nada más que mostrar pantallas y mensajes ficticios. En conclusión, se trata de otra estafa más de la que merecen tener conocimiento.