Interceptación de conexiones seguras HTTPS: Cómo detectarlo   Interceptación de conexiones seguras HTTPS: Cómo detectarlo

 

Planteamiento del problema.

En la actualidad, con frecuencia accedemos a sitios web en los que deseamos seguridad o privacidad, como los de nuestro banco, correo electrónico, redes sociales... Queremos que especialmente en dichos sitios web, por la información privada o importante que contienen o que nosotros introducimos en ellos, se impida que terceros malintencionados puedan suplantarnos u obtener la información que nosotros hemos visto, leído o agregado, ya sean números de tarjetas de crédito, mensajes de correo que hemos escrito u otra información de cualquier clase.

Normalmente, este tipo de sitios web ofrecen una seguridad y privacidad superior al resto de sitios web de Internet, y podemos saberlo porque su dirección comienza por https (en lugar de http) o por la presencia del icono del candado en nuestro navegador. Una vez que vemos estos símbolos, confiamos en que la información presentada o introducida en este sitio web concreto se transmitirá de forma segura y privada, y que ningún tercero puede verla u obtenerla. Y esto es cierto. Una vez que nuestro navegador establece esta conexión https con el verdadero servidor de nuestro banco, correo electrónico, o red social, podemos estar seguros de que la información que intercambiemos no puede ser observada, alterada ni interceptada por terceros.

 

Sin embargo, de todos es conocido que muchas instituciones controlan el uso de Internet que realizan los usuarios. Por ejemplo, una empresa, colegio o proveedor de Internet podría examinar o filtrar las páginas web que visitan sus empleados, alumnos o clientes, respectivamente. Incluso un fabricante de hardware o software podría examinar o filtrar las páginas web que visitan los usuarios de su producto.

La finalidad de esta monitorización no tiene porque ser maligna. Si leemos de nuevo el párrafo anterior, seguro que por cada institución del ejemplo, se nos ocurre una razón benigna que podría justificar la aplicación de las técnicas que permiten el control del uso de Internet por parte de los usuarios. No es el objetivo de este artículo juzgar las razones por las que se utilizan dichas técnicas. Si bien, independientemente de la razón, debería ser obligado el comunicar a los usuarios, de forma clara y explícita, que se realiza dicha monitorización sobre su uso de Internet. Así, que ellos pudieran entonces sopesar si las razones justifican el control o si por el contrario lo consideran una invasión de su privacidad. Pero en cualquiera de los casos, que fueran conscientes de que el uso que hagan de Internet está siendo vigilado.

 

Por tanto, cuando visitamos un sitio web con una conexión normal (http), la monitorización, alteración o interceptación por terceros podría ocurrir. Y no existe una manera fiable de que los usuarios pudiéramos saberlo o detectarlo.

Ahora bien. Decíamos antes, que una vez que se establece una conexión segura (https) con el verdadero servidor de un sitio web, podemos estar seguros de que la información que intercambiemos no puede ser observada, alterada ni interceptada por terceros... Pero es que en los casos en que el uso de Internet esté siendo controlado, no estaremos estableciendo la conexión con el verdadero servidor, sino con un servidor intermedio que suplanta al verdadero servidor del sitio web al que nosotros deseábamos acceder. Dicho servidor puede entonces observar y almacenar cualquier información que nosotros intercambiemos con el sitio web supuestamente seguro.

No obstante, en el caso de los sitios web que utilicen una conexión segura (https), nosotros como usuarios, podemos detectar de forma fiable y rápida, si la conexión está siendo interceptada. Es decir, no podemos evitarlo, pero podemos ser conscientes de que nuestra conexión a sitios web seguros está siendo interceptada con todas las posibles consecuencias que ello podría implicar: no existe la seguridad ni la privacidad que suponíamos, ya que nuestra empresa, colegio, proveedor de Internet o el fabricante de nuestro hardware o software así lo han decidido por nosotros.

 

 

Objetivos.

La finalidad de este artículo es enseñar al lector los medios que tenemos a nuestro alcance, en nuestro propio navegador, para saber por nosotros mismos y con certeza, si las conexiones seguras (https) que realizamos están siendo interceptadas por cualquier tercero (independientemente de la razón por la que se haya implantado dicha vigilancia y si ésta se considera legítima o ilegítima).

Si resulta que nuestras conexiones seguras están siendo interceptadas, aunque no es posible prevenir este tipo de monitorización porque se produce por parte de nuestra empresa, colegio, proveedor de Internet o el fabricante de nuestro hardware o software, al menos seremos conscientes de ello y podemos decidir no acceder a sitios web seguros desde la conexión a Internet en la cual hemos detectado que estamos siendo vigilados.

Si resulta que nuestras conexiones seguras no están siendo interceptadas, tendremos la tranquilidad de saber que la información privada que intercambiemos en sitios web seguros sigue siendo, precisamente, privada y segura, y que no está siendo observada, almacenada, alterada ni interceptada por ningún tercero.

 

 

Instrucciones paso a paso.

Mediante los siguientes pasos, realizados en el navegador de nuestra preferencia, podemos saber de forma rápida si las conexiones seguras están siendo interceptadas. En general si se está realizando este tipo de interceptación, se aplica a la conexión a cualquier sitio web seguro, por lo que habitualmente bastará comprobar unos pocos de los sitios web que utilicemos con frecuencia.

Elija a continuación el apartado de instrucciones correspondiente al navegador que desee utilizar:

 

Usando Microsoft Internet Explorer

  1. Acceda al sitio web seguro (https://) usando la conexión a Internet para la cual desea comprobar si se está produciendo una interceptación.

    Por ejemplo: acceda a Wikipedia.
  2. Anote cuidadosa y exactamente la dirección del sitio web al que ha accedido, tal y como se muestra en la barra de direcciones del navegador.

    Por ejemplo: https://www.wikipedia.org

    Barra de direcciones del navegador Microsoft Internet Explorer

  3. Sin cerrar la pestaña actual con el sitio web seguro, abra una nueva pestaña y diríjase al servicio Fingerprints de GRC (en la dirección https://www.grc.com/fingerprints.htm). En esta página web introduzca exactamente la dirección anotada en el paso anterior y pulse el botón Fingerprint site. Se presentará la información sobre el sitio web cuya dirección hemos introducido.

    Por ejemplo:
    - Domain name: www.wikipedia.org
    - Certificate name: *.wikipedia.org
    - Security Certificate's Authentic Fingerprint: DA:AA:A4:9B:AD:0C:1F:A3:29:71:D8:CC:62:BA:72:D1:A4:DB:94:9F

    Sección Custom Site Fingerprinting del servicio Fingerprints de GRC

    Resultado del servicio Fingerprints de GRC

  4. Vuelva a la pestaña con el sitio web seguro que deseaba comprobar, y pulse con el botón derecho del ratón sobre cualquier punto de la página web segura. En el menú que aparece, escoja la opción Propiedades. En la ventana de Propiedades, pulse sobre el botón Certificados.
  5. En la ventana Certificado, en la pestaña General, compruebe que el nombre que aparece en el campo Enviado a: coincide exactamente con el nombre que obtuvo de la página web Fingerprints en la columna Certificate name.

    Por ejemplo:
    - Enviado: *.wikipedia.org == Certificate name: *.wikipedia.org

    Si los nombres no coinciden, asegúrese de haber introducido en la página Fingerprints exactamente la misma dirección del sitio al que ha accedido. Un posible fallo frecuente que puede causar que se obtengan distintos resultados es introducir, siguiendo el ejemplo, wikipedia.org en lugar de www.wikipedia.org. Repita de nuevo los pasos anteriores y compruebe cuidadosamente la dirección del sitio web al que ha accedido.

    Pestaña General de la ventana Certificado

  6. En la ventana Certificado, en la pestaña Detalles, asegúrese de que el campo Mostrar está ajustado en Todos, y en la tabla que aparece a continuación, localice la fila Huella digital y selecciónela. En el campo inferior aparecerán los datos de la huella digital. Compruebe que los datos de la huella digital coinciden exactamente (ignorando la posible diferencia de mayúsculas y minúsculas) con los datos que obtuvo de la página web Fingerprints en la columna Security Certificate's Authentic Fingerprint.

    Por ejemplo:
    - Datos en la ventana Certificado: da aa a4 9b ad 0c 1f a3 29 71 d8 cc 62 ba 72 d1 a4 db 94 9f == Security Certificate's Authentic Fingerprint: DA:AA:A4:9B:AD:0C:1F:A3:29:71:D8:CC:62:BA:72:D1:A4:DB:94:9F

    Si los datos no coinciden, el sitio web seguro al que ha accedido, podría haber sido interceptado por algún tercero. En general cuando esto suceda, los datos serán notablemente distintos; si le ha ocurrido que la diferencia está en una única cifra, asegúrese de no haberse equivocado al comparar. Para confirmar el caso de que la conexión a sitios web seguros esté siendo interceptada, realice esta misma comprobación con al menos tres o cuatro sitios web seguros diferentes, asegurándose de no estar utilizando sitios web listados en el apartado Casos particulares de este mismo documento.

    Si los datos coinciden, el sitio web seguro al que ha accedido, no ha sido interceptado por ningún tercero y puede utilizar el sitio y transmitir información en él con toda confianza.

    Pestaña Detalles de la ventana Certificado

  7. Ha terminado, puede cerrar las ventanas Certificado y Propiedades.

 

Usando Mozilla Firefox

  1. Acceda al sitio web seguro (https://) usando la conexión a Internet para la cual desea comprobar si se está produciendo una interceptación.

    Por ejemplo: acceda a Wikipedia.
  2. Anote cuidadosa y exactamente la dirección del sitio web al que ha accedido, tal y como se muestra en la barra de direcciones del navegador.

    Por ejemplo: https://www.wikipedia.org

    Barra de direcciones del navegador Mozilla Firefox

  3. Sin cerrar la pestaña actual con el sitio web seguro, abra una nueva pestaña y diríjase al servicio Fingerprints de GRC (en la dirección https://www.grc.com/fingerprints.htm). En esta página web introduzca exactamente la dirección anotada en el paso anterior y pulse el botón Fingerprint site. Se presentará la información sobre el sitio web cuya dirección hemos introducido.

    Por ejemplo:
    - Domain name: www.wikipedia.org
    - Certificate name: *.wikipedia.org
    - Security Certificate's Authentic Fingerprint: DA:AA:A4:9B:AD:0C:1F:A3:29:71:D8:CC:62:BA:72:D1:A4:DB:94:9F

    Sección Custom Site Fingerprinting del servicio Fingerprints de GRC

    Resultado del servicio Fingerprints de GRC

  4. Vuelva a la pestaña con el sitio web seguro que deseaba comprobar, y pulse con el botón derecho del ratón sobre cualquier punto de la página web segura. En el menú que aparece, escoja la opción Ver información de la página. En la ventana de Información de la página, pulse sobre el icono Seguridad, y pulse el botón Ver certificado.
  5. En la ventana Visor de certificados, en la pestaña General, compruebe que el nombre que aparece en el campo Nombre común (CN) coincide exactamente con el nombre que obtuvo de la página web Fingerprints en la columna Certificate name.

    Por ejemplo:
    - Nombre común (CN): *.wikipedia.org == Certificate name: *.wikipedia.org

    Si los nombres no coinciden, asegúrese de haber introducido en la página Fingerprints exactamente la misma dirección del sitio al que ha accedido. Un posible fallo frecuente que puede causar que se obtengan distintos resultados es introducir, siguiendo el ejemplo, wikipedia.org en lugar de www.wikipedia.org. Repita de nuevo los pasos anteriores y compruebe cuidadosamente la dirección del sitio web al que ha accedido.

    Pestaña General de la ventana Visor de certificados

  6. En la misma ventana y pestaña, compruebe que los datos del campo Huella digital SHA1 coinciden exactamente (ignorando la posible diferencia de mayúsculas y minúsculas) con los datos que obtuvo de la página web Fingerprints en la columna Security Certificate's Authentic Fingerprint.

    Por ejemplo:
    - Huella digital SHA1: DA:AA:A4:9B:AD:0C:1F:A3:29:71:D8:CC:62:BA:72:D1:A4:DB:94:9F == Security Certificate's Authentic Fingerprint: DA:AA:A4:9B:AD:0C:1F:A3:29:71:D8:CC:62:BA:72:D1:A4:DB:94:9F

    Si los datos no coinciden, el sitio web seguro al que ha accedido, podría haber sido interceptado por algún tercero. En general cuando esto suceda, los datos serán notablemente distintos; si le ha ocurrido que la diferencia está en una única cifra, asegúrese de no haberse equivocado al comparar. Para confirmar el caso de que la conexión a sitios web seguros esté siendo interceptada, realice esta misma comprobación con al menos tres o cuatro sitios web seguros diferentes, asegurándose de no estar utilizando sitios web listados en el apartado Casos particulares de este mismo documento.

    Si los datos coinciden, el sitio web seguro al que ha accedido, no ha sido interceptado por ningún tercero y puede utilizar el sitio y transmitir información en él con toda confianza.

    Pestaña General de la ventana Visor de certificados

  7. Ha terminado, puede cerrar las ventanas Visor de certificados e Información de la página.

 

Usando Opera

  1. Acceda al sitio web seguro (https://) usando la conexión a Internet para la cual desea comprobar si se está produciendo una interceptación.

    Por ejemplo: acceda a Wikipedia.
  2. Anote cuidadosa y exactamente la dirección del sitio web al que ha accedido, tal y como se muestra en la barra de direcciones del navegador.

    Por ejemplo: https://www.wikipedia.org

    Barra de direcciones del navegador Opera

  3. Sin cerrar la pestaña actual con el sitio web seguro, abra una nueva pestaña y diríjase al servicio Fingerprints de GRC (en la dirección https://www.grc.com/fingerprints.htm). En esta página web introduzca exactamente la dirección anotada en el paso anterior y pulse el botón Fingerprint site. Se presentará la información sobre el sitio web cuya dirección hemos introducido.

    Por ejemplo:
    - Domain name: www.wikipedia.org
    - Certificate name: *.wikipedia.org
    - Security Certificate's Authentic Fingerprint: DA:AA:A4:9B:AD:0C:1F:A3:29:71:D8:CC:62:BA:72:D1:A4:DB:94:9F

    Sección Custom Site Fingerprinting del servicio Fingerprints de GRC

    Resultado del servicio Fingerprints de GRC

  4. Vuelva a la pestaña con el sitio web seguro que deseaba comprobar, y abra el panel lateral Información. En el panel de información que aparece, desplácese hasta la sección Seguridad y pulse el enlace del campo Resumen. Se abrirá una nueva pestaña con el título Información de seguridad.
  5. En la pestaña Información de seguridad, localice el nombre que aparece en la primera línea del campo Nombre del certificado, y compruebe que coincide exactamente con el nombre que obtuvo de la página web Fingerprints en la columna Certificate name.

    Por ejemplo:
    - Nombre del certificado: *.wikipedia.org == Certificate name: *.wikipedia.org

    Si los nombres no coinciden, asegúrese de haber introducido en la página Fingerprints exactamente la misma dirección del sitio al que ha accedido. Un posible fallo frecuente que puede causar que se obtengan distintos resultados es introducir, siguiendo el ejemplo, wikipedia.org en lugar de www.wikipedia.org. Repita de nuevo los pasos anteriores y compruebe cuidadosamente la dirección del sitio web al que ha accedido.

    Pestaña Información de seguridad

  6. En la misma pestaña, un poco más abajo se encuentra el campo Huella digital (SHA-1). Compruebe que los datos del campo Huella digital (SHA-1) coinciden exactamente (ignorando la posible diferencia de mayúsculas y minúsculas) con los datos que obtuvo de la página web Fingerprints en la columna Security Certificate's Authentic Fingerprint.

    Por ejemplo:
    - Huella digital (SHA-1): DA:AA:A4:9B:AD:0C:1F:A3:29:71:D8:CC:62:BA:72:D1:A4:DB:94:9F == Security Certificate's Authentic Fingerprint: DA:AA:A4:9B:AD:0C:1F:A3:29:71:D8:CC:62:BA:72:D1:A4:DB:94:9F

    Si los datos no coinciden, el sitio web seguro al que ha accedido, podría haber sido interceptado por algún tercero. En general cuando esto suceda, los datos serán notablemente distintos; si le ha ocurrido que la diferencia está en una única cifra, asegúrese de no haberse equivocado al comparar. Para confirmar el caso de que la conexión a sitios web seguros esté siendo interceptada, realice esta misma comprobación con al menos tres o cuatro sitios web seguros diferentes, asegurándose de no estar utilizando sitios web listados en el apartado Casos particulares de este mismo documento.

    Si los datos coinciden, el sitio web seguro al que ha accedido, no ha sido interceptado por ningún tercero y puede utilizar el sitio y transmitir información en él con toda confianza.

    Pestaña Información de seguridad

  7. Ha terminado, puede cerrar la pestaña Información de seguridad y el panel lateral Información.

 

Usando Apple Safari

  1. Acceda al sitio web seguro (https://) usando la conexión a Internet para la cual desea comprobar si se está produciendo una interceptación.

    Por ejemplo: acceda a Wikipedia.
  2. Anote cuidadosa y exactamente la dirección del sitio web al que ha accedido, tal y como se muestra en la barra de direcciones del navegador.

    Por ejemplo: https://www.wikipedia.org

    Barra de direcciones del navegador Apple Safari

  3. Sin cerrar la pestaña actual con el sitio web seguro, abra una nueva pestaña y diríjase al servicio Fingerprints de GRC (en la dirección https://www.grc.com/fingerprints.htm). En esta página web introduzca exactamente la dirección anotada en el paso anterior y pulse el botón Fingerprint site. Se presentará la información sobre el sitio web cuya dirección hemos introducido.

    Por ejemplo:
    - Domain name: www.wikipedia.org
    - Certificate name: *.wikipedia.org
    - Security Certificate's Authentic Fingerprint: DA:AA:A4:9B:AD:0C:1F:A3:29:71:D8:CC:62:BA:72:D1:A4:DB:94:9F

    Sección Custom Site Fingerprinting del servicio Fingerprints de GRC

    Resultado del servicio Fingerprints de GRC

  4. Vuelva a la pestaña con el sitio web seguro que deseaba comprobar, y pulse sobre el icono del candado situado en la parte derecha de la barra de direcciones.
  5. En la ventana Certificado, en la pestaña General, compruebe que el nombre que aparece en el campo Enviado a: coincide exactamente con el nombre que obtuvo de la página web Fingerprints en la columna Certificate name.

    Por ejemplo:
    - Enviado: *.wikipedia.org == Certificate name: *.wikipedia.org

    Si los nombres no coinciden, asegúrese de haber introducido en la página Fingerprints exactamente la misma dirección del sitio al que ha accedido. Un posible fallo frecuente que puede causar que se obtengan distintos resultados es introducir, siguiendo el ejemplo, wikipedia.org en lugar de www.wikipedia.org. Repita de nuevo los pasos anteriores y compruebe cuidadosamente la dirección del sitio web al que ha accedido.

    Pestaña General de la ventana Certificado

  6. En la ventana Certificado, en la pestaña Detalles, asegúrese de que el campo Mostrar está ajustado en Todos, y en la tabla que aparece a continuación, localice la fila Huella digital y selecciónela. En el campo inferior aparecerán los datos de la huella digital. Compruebe que los datos de la huella digital coinciden exactamente (ignorando la posible diferencia de mayúsculas y minúsculas) con los datos que obtuvo de la página web Fingerprints en la columna Security Certificate's Authentic Fingerprint.

    Por ejemplo:
    - Datos en la ventana Certificado: da aa a4 9b ad 0c 1f a3 29 71 d8 cc 62 ba 72 d1 a4 db 94 9f == Security Certificate's Authentic Fingerprint: DA:AA:A4:9B:AD:0C:1F:A3:29:71:D8:CC:62:BA:72:D1:A4:DB:94:9F

    Si los datos no coinciden, el sitio web seguro al que ha accedido, podría haber sido interceptado por algún tercero. En general cuando esto suceda, los datos serán notablemente distintos; si le ha ocurrido que la diferencia está en una única cifra, asegúrese de no haberse equivocado al comparar. Para confirmar el caso de que la conexión a sitios web seguros esté siendo interceptada, realice esta misma comprobación con al menos tres o cuatro sitios web seguros diferentes, asegurándose de no estar utilizando sitios web listados en el apartado Casos particulares de este mismo documento.

    Si los datos coinciden, el sitio web seguro al que ha accedido, no ha sido interceptado por ningún tercero y puede utilizar el sitio y transmitir información en él con toda confianza.

    Pestaña Detalles de la ventana Certificado

  7. Ha terminado, puede cerrar la ventana Certificado.

 

Usando Google Chrome

  1. Acceda al sitio web seguro (https://) usando la conexión a Internet para la cual desea comprobar si se está produciendo una interceptación.

    Por ejemplo: acceda a Wikipedia.
  2. Anote cuidadosa y exactamente la dirección del sitio web al que ha accedido, tal y como se muestra en la barra de direcciones del navegador.

    Por ejemplo: https://www.wikipedia.org

  3. Sin cerrar la pestaña actual con el sitio web seguro, abra una nueva pestaña y diríjase al servicio Fingerprints de GRC (en la dirección https://www.grc.com/fingerprints.htm). En esta página web introduzca exactamente la dirección anotada en el paso anterior y pulse el botón Fingerprint site. Se presentará la información sobre el sitio web cuya dirección hemos introducido.

    Por ejemplo:
    - Domain name: www.wikipedia.org
    - Certificate name: *.wikipedia.org
    - Security Certificate's Authentic Fingerprint: DA:AA:A4:9B:AD:0C:1F:A3:29:71:D8:CC:62:BA:72:D1:A4:DB:94:9F

    Sección Custom Site Fingerprinting del servicio Fingerprints de GRC

    Resultado del servicio Fingerprints de GRC

  4. Vuelva a la pestaña con el sitio web seguro que deseaba comprobar, y pulse sobre el icono del candado que se encuentra a la izquierda de la dirección del sitio web en la barra de direcciones. En la ventana que aparece, cambie a la pestaña Conexión y pulse sobre Información del certificado.
  5. En la ventana Certificado, en la pestaña General, compruebe que el nombre que aparece en el campo Enviado a: coincide exactamente con el nombre que obtuvo de la página web Fingerprints en la columna Certificate name.

    Por ejemplo:
    - Enviado: *.wikipedia.org == Certificate name: *.wikipedia.org

    Si los nombres no coinciden, asegúrese de haber introducido en la página Fingerprints exactamente la misma dirección del sitio al que ha accedido. Un posible fallo frecuente que puede causar que se obtengan distintos resultados es introducir, siguiendo el ejemplo, wikipedia.org en lugar de www.wikipedia.org. Repita de nuevo los pasos anteriores y compruebe cuidadosamente la dirección del sitio web al que ha accedido.

    Pestaña General de la ventana Certificado

  6. En la ventana Certificado, en la pestaña Detalles, asegúrese de que el campo Mostrar está ajustado en Todos, y en la tabla que aparece a continuación, localice la fila Huella digital y selecciónela. En el campo inferior aparecerán los datos de la huella digital. Compruebe que los datos de la huella digital coinciden exactamente (ignorando la posible diferencia de mayúsculas y minúsculas) con los datos que obtuvo de la página web Fingerprints en la columna Security Certificate's Authentic Fingerprint.

    Por ejemplo:
    - Datos en la ventana Certificado: da aa a4 9b ad 0c 1f a3 29 71 d8 cc 62 ba 72 d1 a4 db 94 9f == Security Certificate's Authentic Fingerprint: DA:AA:A4:9B:AD:0C:1F:A3:29:71:D8:CC:62:BA:72:D1:A4:DB:94:9F

    Si los datos no coinciden, el sitio web seguro al que ha accedido, podría haber sido interceptado por algún tercero. En general cuando esto suceda, los datos serán notablemente distintos; si le ha ocurrido que la diferencia está en una única cifra, asegúrese de no haberse equivocado al comparar. Para confirmar el caso de que la conexión a sitios web seguros esté siendo interceptada, realice esta misma comprobación con al menos tres o cuatro sitios web seguros diferentes, asegurándose de no estar utilizando sitios web listados en el apartado Casos particulares de este mismo documento.

    Si los datos coinciden, el sitio web seguro al que ha accedido, no ha sido interceptado por ningún tercero y puede utilizar el sitio y transmitir información en él con toda confianza.

    Pestaña Detalles de la ventana Certificado

  7. Ha terminado, puede cerrar la ventana Certificado.

 

 

Casos particulares.

Existen sitios web concretos en los que, por su configuración interna, la huella digital de los certificados que presentan puede variar entre un acceso y el siguiente. Esto no significa que la conexión segura a dichos sitios web esté siendo interceptada, pero no podremos utilizar estos sitios web para realizar la comprobación de si las conexiones seguras están siendo interceptadas.

Podemos identificar estos sitios web obteniendo la huella digital de los certificados de dichos sitios en varias ocasiones seguidas en el servicio Fingerprints de GRC. Si la huella digital auténtica mostrada en dicho servicio varía entre una obtención y la siguiente, sabremos que no podemos utilizar el sitio web concreto para nuestra comprobación de interceptación de conexiones seguras.

Los sitios web en que se conoce que ocurre esta situación son los siguientes:

  • Apple (y en todos los servicios de Apple, tal como iTunes)
  • Amazon (y en todos los servicios de Amazon, tal como Amazon Web Services)
  • Google (y en todos los servicios de Google, tal como GMail)

 

En ocasiones los sitios web que reciben gran cantidad de visitantes utilizan muchos servidores idénticos para atender a los visitantes. Cada vez que accedemos al sitio web, el servidor que atiende nuestra visita es distinto. Habitualmente, incluso los distintos servidores de un sitio web comparten el mismo certificado digital que garantiza la autenticidad de la conexión segura a dichos sitios web, pero otros sitios web podrían utilizar un certificado digital distinto para cada uno de los muchos servidores que atienden a los visitantes. Y por tanto, en el caso de estos últimos, como cada vez que accedemos nos atiende un servidor distinto con un certificado digital distinto, la huella digital de dicho certificado es necesariamente diferente (si consiguiéramos acceder exactamente al mismo servidor entre un acceso y otro, para dicho servidor sí que obtendríamos una coincidencia en la huella digital, pero no es posible elegir el servidor que nos atiende cada vez que visitamos el sitio). En cualquier caso, recordamos una vez más que esto no significa que la conexión segura a dichos sitios web esté siendo interceptada.

 

 

Explicación técnica de cómo se produce la interceptación de sitios web seguros.

Cuando accedemos a un sitio web seguro que utiliza una conexión HTTPS, el sitio web se identifica ante nuestro navegador mediante un certificado digital firmado por una autoridad de certificación. El navegador acepta el certificado como válido y fiable si previamente tiene especificado que puede confiar en la autoridad de certificación que firmó el certificado.

Los navegadores cuentan ya desde el momento en que se instalan con un listado de múltiples autoridades de certificación, las cuales se consideran fiables y en cuyos certificados digitales se confiará automáticamente cuando los sitios web seguros los presenten. La interceptación de conexiones HTTPS seguras se basa en introducir en el navegador del usuario una falsa autoridad de certificación, la cual servirá para que el navegador confíe en los certificados falsos que serán presentados al navegador por parte del equipo que está interceptando las conexiones HTTPS.

Como el navegador confía en los certificados falsos por confiar en la autoridad de certificación falsa, muestra al usuario los típicos símbolos que indican que la conexión es segura (como por ejemplo, el icono del candado), por lo que el usuario en principio no se da cuenta del engaño. Pero sin duda está siendo engañado: en lugar de haber establecido una conexión segura con el verdadero servidor del sitio web al que intentaba acceder, la conexión segura ha sido establecida con un servidor proxy HTTPS.

 

Sin embargo, ahora los usuarios tenemos a nuestro favor que, gracias al servicio Fingerprints de GRC, es posible distinguir de forma relativamente fácil el certificado falso, emitido por el servidor proxy, del certificado auténtico del verdadero sitio web seguro.

Por mucho que el servidor proxy intente imitar los datos del certificado auténtico, la clave pública del certificado falso nunca puede ser la misma que la del certificado verdadero, (porque el proxy no posee la clave privada del certificado verdadero y por tanto no podría descifrar los datos cifrados por la clave pública del certificado verdadero), y por tanto ambos certificados han de ser necesariamente distintos.

Y aquí es donde se aplican las huellas digitales (o fingerprints, en inglés) de los certificados. Si un certificado digital es mínimamente diferente de otro, las huellas digitales de ambos son claramente distintas. Por tanto la comparación de las huellas digitales nos permite detectar rápidamente que un certificado no es el mismo que supuestamente debería ser. Es decir, el certificado presentado por el servidor proxy, diferente del certificado del sitio web auténtico, generará una huella digital distinta de la que se obtendría del verdadero certificado. Por tanto la huella digital de los certificados nos permite detectar el engaño.

 

Se anima a los lectores de este artículo que sepan inglés a leer la página completa del servicio Fingerprints en el sitio web de Steve Gibson para obtener más información.

Página web del servicio Fingerprints de Steve Gibson (GRC)   Ir a la página web del servicio Fingerprints de Steve Gibson (GRC)

 

 

Certificados de validación extendida.

Habitualmente, cuando accedemos a un sitio web seguro, la identificación de dicho sitio web se muestra en la barra de direcciones en color azul, o únicamente mediante el símbolo del candado. Estos sitios web seguros utilizan los certificados digitales normales a los que nos hemos estado refiriendo en este documento hasta ahora. Para estos sitios web podemos comprobar la ausencia de interceptaciones en la conexión mediante las huellas digitales de los certificados. Tal como hemos explicado anteriormente.

No obstante, existe un otro tipo de certificado, llamado certificado de validación extendida. Cuando visitamos un sitio web seguro que dispone de un certificado de validación extendida, en lugar de uno normal, la identificación de dicho sitio web se muestra en color verde en la barra de direcciones del navegador.

Los certificados de validación extendida tienen propiedades adicionales respecto a los certificados normales, y su comprobación por parte del navegador se realiza de forma distinta e independiente. Gracias a ello, si la conexión a un sitio web seguro que disponga de un certificado de validación extendida estuviera siendo interceptada de alguna manera, automáticamente el navegador deja de mostrar la identificación de color verde en la barra de direcciones.

En cualquier caso, debemos recordar que la ausencia de la identificación de color verde al acceder a un sitio web seguro no significa necesariamente que se esté produciendo una interceptación de la conexión, sino únicamente que el sitio web seguro al que estamos accediendo no utiliza un certificado de validación extendida. Solamente podría darse el caso de que la conexión estuviera siendo interceptada cuando un sitio web seguro que sí utiliza un certificado de validación extendida, y que habitualmente debería mostrar su identificación en color verde, no esté mostrando dicha identificación en color verde.

 

Hasta aquí bien. En los sitios web seguros que dispongan de un certificado de validación extendida, tenemos una manera muy sencilla de saber si se está produciendo una interceptación. Simplemente tenemos que observar si se muestra la identificación de color verde en la barra de direcciones. Si la identificación verde está presente, podemos tener la seguridad de que la conexión a dicho sitio web no está siendo interceptada, y que el contenido que se muestra en la página y la información que nosotros introduzcamos no pueden ser alterados ni obtenidos por ningún tercero.

Pero, a pesar de la aparente simplicidad que ofrecen los sitios web seguros con certificados de validación extendida para comprobar si la conexión a dichos sitios web está siendo interceptada... Nosotros como usuarios no podemos saber a priori, o podríamos no recordar de visitas anteriores, si un determinado sitio web seguro dispone de un certificado de validación extendida o no, y si por tanto debería mostrar su identificación en verde o no. Para saber con certeza si un determinado sitio web seguro utiliza un certificado de validación extendida, y por tanto si su identificación se debería mostrar en color verde, recurriremos de nuevo al servicio Fingerprints de GRC.

 

Mediante los siguientes pasos, realizados en el navegador Mozilla Firefox o Google Chrome (pero no Microsoft Internet Explorer), podemos saber con certeza si las conexiones seguras a sitios web con certificados de validación extendida están siendo interceptadas:

  1. Acceda al sitio web seguro (https://) que supuestamente utiliza un certificado de validación extendida usando la conexión a Internet para la cual desea comprobar si se está produciendo una interceptación.

    Por ejemplo: acceda a Twitter.
  2. Anote cuidadosa y exactamente la dirección del sitio web al que ha accedido, tal y como se muestra en la barra de direcciones del navegador.

    Por ejemplo: https://twitter.com

  3. Sin cerrar la pestaña actual con el sitio web seguro, abra una nueva pestaña y diríjase al servicio Fingerprints de GRC (en la dirección https://www.grc.com/fingerprints.htm). En esta página web introduzca exactamente la dirección anotada en el paso anterior y pulse el botón Fingerprint site. Se presentará la información sobre el sitio web cuya dirección hemos introducido.

    Por ejemplo:
    - Domain name: twitter.com
    - Certificate name: twitter.com
    - EV: (verde)
    - Security Certificate's Authentic Fingerprint: C3:1F:6D:53:92:F2:CB:48:0A:42:79:8C:1F:BE:70:82:1D:D8:82:51
  4. Compruebe si entre la información obtenida en el servicio Fingerprints sobre el sitio web, la columna EV muestra un círculo de color verde.

    Si no aparece el círculo de color verde, significa que el sitio web seguro no dispone de un certificado de validación extendida, y por tanto no podrá comprobar si la conexión segura está siendo interceptada mediante este método y con este sitio web. No continúe con los siguientes pasos de estas instrucciones; utilice el método de comparación de las huellas digitales mostrado en el apartado Instrucciones paso a paso de este mismo documento.

    Si aparece el círculo de color verde, significa que el sitio web seguro cuenta con un certificado de validación extendida, y por tanto podrá comprobar si la conexión segura está siendo interceptada mediante este método y con este sitio web. Continúe con los siguientes pasos de estas instrucciones.
  5. Vuelva a la pestaña con el sitio web seguro que deseaba comprobar, y observe si la identificación de color verde aparece en la barra de direcciones.

    Si no aparece la identificación de color verde, el sitio web seguro al que ha accedido, podría haber sido interceptado por algún tercero. Para confirmar el caso de que la conexión a sitios web seguros esté siendo interceptada, realice esta misma comprobación con al menos tres o cuatro sitios web seguros diferentes.

    Si aparece la identificación de color verde, el sitio web seguro al que ha accedido, no ha sido interceptado por ningún tercero y puede utilizar el sitio y transmitir información en él con toda confianza.
  6. Ha terminado.

 

Al contrario de lo que ocurre con los certificados digitales normales (contábamos en el apartado anterior de este documento, que podía introducirse en los navegadores una falsa autoridad de certificación, que diera validez a los certificados falsos presentados por el equipo que interceptara las conexiones HTTPS), la lista de autoridades de certificación a las cuales se permite firmar certificados de validación extendida es fija. No puede alterarse para añadir ni quitar autoridades de certificación. Se encuentra incluida en el código del navegador, por lo que no podría ser alterada sin causar una alteración en los archivos del navegador y por tanto invalidando la firma digital que protege dichos archivos. Por tanto, un equipo que intercepte las conexiones seguras HTTPS no puede presentar un falso certificado de validación extendida, ya que no es posible introducir una falsa autoridad de certificación en el navegador, que diera validez al certificado de validación extendida falso.

En cualquier caso, debemos saber que la interceptación sigue siendo posible, ya que aunque el servidor proxy HTTPS no pueda presentar un certificado de validación extendida falso, sí podría presentar un certificado normal falso (por supuesto, respaldado por una autoridad de certificación de certificados normales falsa previamente introducida en el navegador). Sin embargo, de esta forma el sitio web seguro que antes mostraba la identificación de color verde, ahora perderá dicha identificación de color verde, hecho que podemos utilizar para detectar la interceptación.

 

Se anima a los lectores de este artículo que sepan inglés a leer igualmente la página sobre certificados de validación extendida del servicio Fingerprints en el sitio web de Steve Gibson para obtener más información.

Página web sobre certificados de validación extendida del servicio Fingerprints de Steve Gibson (GRC)   Ir a la página web sobre certificados de validación extendida del servicio Fingerprints de Steve Gibson (GRC)

 

 

Conclusiones.

Gracias al servicio Fingerprints de GRC, hemos podido comprobar, por nosotros mismos y de una manera fiable y rápida, si cuando accedemos a un sitio web seguro (https), la conexión con el servidor de dicho sitio web está siendo interceptada o no. Cualquiera que haya sido la respuesta (y la razón por la que se realiza la interceptación, que podríamos considerar legítima o ilegítima), el ser conscientes del resultado nos dará mayor tranquilidad. Bien por tener la certeza de que la información intercambiada en sitios web seguros no puede ser observada o almacenada por terceros (si las conexiones seguras no están siendo interceptadas), o bien porque ahora sabemos que las conexiones seguras no eran tales y podemos decidir no utilizar dicho equipo o conexión a Internet para acceder a sitios web en los cuales queramos que nuestra información privada (tal como el número de nuestra tarjeta de crédito) siga siendo privada.

Habitualmente no necesitaremos volver a comprobar periódicamente si se está realizando la interceptación de la conexión a sitios web seguros. En general bastará comprobarlo una única ocasión con unos pocos sitios web por cada una de las conexiones a Internet que utilicemos. Con ello obtendremos una respuesta fiable para dicha conexión a Internet. Únicamente podríamos querer repetir la prueba si por algún motivo pensamos que la política de la empresa, colegio, proveedor de Internet o fabricante de hardware o software, del cual estemos utilizando la conexión a Internet o producto, ha cambiado y podrían haber implantado la interceptación de conexiones a sitios web seguros.

Finalmente, debemos agradecer a Steve Gibson, autor del servicio Fingerprints, el disponer de una manera sencilla y rápida de comparar las huellas digitales de los certificados de sitios web seguros con el objetivo de saber si la conexión segura está siendo interceptada. De no disponer de este servicio, la comparación requeriría obtener la huella digital del certificado de un mismo sitio web desde diversas conexiones a Internet distintas para finalmente determinar en cual de ellas podría estarse produciendo la interceptación.

 

 

Referencias.

Servicio Fingerprints de Steve Gibson (Gibson Research Corporation)   Servicio Fingerprints de Steve Gibson (Gibson Research Corporation)
Artículo   Artículo SSL/TLS Interception Proxies and Transitive Trust de Jeff Jarmoc, presentado en la conferencia Black Hat Europe (Marzo de 2012)

 

 

Descargar Documento   Descargar este documento
Página principal   Regresar a la página principal