¿Qué es el SSL Sniffing y cómo evitarlo?

SSL Sniffing

Dado que la Internet de los objetos es cada vez más segura, los ciberdelincuentes se ven obligados a pensar en nuevos métodos para interceptar y robar datos confidenciales. Suelen aprovecharse de las herramientas de ciberseguridad existentes e intentan engañar a los usuarios para que confíen en ellas. Por lo tanto, este artículo le ayudará a averiguar qué es un intento de SSL Sniffing. También le mostrará cómo proteger su conexión SSL de la misma. Pero primero, definamos qué es un proxy de terminación TLS/SSL.

Índice

  1. ¿Qué es un proxy de terminación TLS/SSL?
  2. ¿Qué es el SSL Sniffing?
  3. ¿Cómo funciona el SSL Sniffing?
  4. ¿Cómo evitar el SSL Sniffing?
  5. Cómo prevenir el sniffing SSL

¿Qué es un proxy de terminación TLS/SSL?

Un proxy de terminación TLS/SSL es un servidor proxy utilizado especialmente por una entidad para interceptar y gestionar las conexiones TLS/SSL entrantes, descifrar el TLS/SSL y, a continuación, pasar la solicitud sin cifrar a uno de sus servidores de alta seguridad, como Apache HTTP Server, Nginx o HAProxy.

El objetivo de disponer de un proxy de terminación TLS/SSL es reducir la carga de los servidores principales de la entidad. Pero antes de implantar este proxy, la entidad debe asegurarse de que su red es tan segura que no tiene que cifrar los datos de sesión de sus usuarios.

Por desgracia, los ciberdelincuentes han aprendido a utilizar las capacidades de un proxy de terminación TLS/SSL para husmear en las conexiones SSL seguras. Ahora pueden interceptar fácilmente los mensajes intercambiados en su interior.

¿Qué es el SSL Sniffing?

El sniffing SSL es un ciberataque malicioso cuando un proxy de terminación TLS/SSL actúa como un proxy MitM que secuestra la conexión SSL segura.

¿Por qué MitM (man-in-the-middle)? Porque un proxy es, por definición, un tercero intermediario. El proxy se conecta al servidor y, a continuación, el cliente se conecta al proxy.

¿Cómo funciona el SSL Sniffing?

Es posible que ya sepa que los certificados SSL evitan los ataques MitM. ¿Cómo es que MitM puede intervenir y husmear una conexión SSL?

El sniffing de la conexión SSL implica que el proxy MitM actúe como una Autoridad de Certificación no fiable. El proxy MitM genera dinámicamente certificados SSL para cualquier nombre de host que sea necesario para establecer la conexión SSL. Por ejemplo, si el navegador quiere conectarse a https://www.mywebsite.com, el proxy MitM generará un certificado SSL para www.mywebsite.com y lo firmará como una CA independiente.

Al actuar deliberadamente como una CA independiente, el proxy MitM malicioso se aprovecha de esta posibilidad e intenta secuestrar una conexión SSL de confianza. Así, cuando el navegador intenta conectarse al servidor web, el proxy MitM interviene emitiendo y firmando su propio certificado. Por lo tanto, mientras que el proxy MitM recibe el certificado SSL original del servidor, el navegador recibe el certificado SSL falso emitido por el proxy MitM.

Pero, aquí viene la parte crucial de un intento de SSL Sniffing:

El navegador cree que se conecta al servidor, pero en realidad se conecta al proxy MitM. Aquí viene el escollo: para que el sniffing tenga lugar, el navegador debe aceptar este proxy como una CA genuina y de confianza.

Si el usuario ignora cualquier advertencia de seguridad y acepta el certificado SSL falso y la CA del proxy MitM como de confianza, el usuario se conectará con éxito al proxy MitM, iniciará el SSL Sniffing y la conexión SSL se volverá insegura.

¿Cómo evitar el SSL Sniffing?

Supongamos que el usuario no ha instalado ningún programa malicioso. Cuando su navegador reciba el certificado SSL falso, el navegador mostrará un mensaje de seguridad advirtiendo a los usuarios que no confíen en el emisor del certificado SSL y les preguntará si desean incluir el certificado proxy MitM falso en su lista de certificados de confianza. Rechazando la petición anterior, el usuario detiene el intento de SSL Sniffing, protegiendo con éxito su conexión SSL segura.

¿Cómo evitar el sniffing de SSL?

Para evitar el sniffing HTTPS y garantizar la confidencialidad e integridad de sus comunicaciones protegidas por SSL/TLS, siga estas directrices:

1. Utilice las últimas versiones del protocolo TLS

Asegúrese de utilizar los protocolos TLS más recientes (por ejemplo, TLS 1.3) y las bibliotecas o marcos TLS más recientes y mejor mantenidos tanto en el lado del servidor como del cliente. Estas actualizaciones suelen incluir mejoras de seguridad y correcciones de vulnerabilidades. Con el tiempo, las versiones SSL/TLS más antiguas podrían convertirse en una puerta trasera que un sniffer SSL podría explotar. No deje a los atacantes ningún margen de maniobra para dirigir sus ataques de sniff SSL a través de protocolos obsoletos.

2. Implantar seguridad de transporte estricta (HSTS)

HSTS es un mecanismo de seguridad que ordena a los navegadores web que se conecten siempre a un sitio web a través de HTTPS, evitando así cualquier ataque de bajada. Ayuda a proteger contra ataques de desprotección SSL. Al activar HSTS, se asegura de que incluso si un usuario escribe “http://” en lugar de “https://”, el navegador cambiará automáticamente a una conexión segura.

3. Obtener certificados de una autoridad de certificación de confianza

Obtenga certificados SSL/TLS de CA acreditadas. Estas entidades de terceros validan la identidad del servidor y emiten certificados de confianza, lo que impide a los atacantes utilizar certificados falsos o autofirmados para interceptar el tráfico. Compruebe regularmente la validez y las fechas de caducidad de los certificados, ya que un certificado caducado es otra importante laguna que a los hackers les encanta explorar.

4. Implantar la vinculación de certificados

La fijación de certificados le permite especificar qué certificados o claves públicas son de confianza para un dominio concreto. Esto garantiza que sólo se acepten los certificados o claves esperados durante el intercambio SSL/TLS.

El anclaje de certificados evita este tipo de ataques al garantizar que el cliente verifica la identidad del servidor utilizando únicamente el certificado o la clave especificados. Si un atacante intenta utilizar un certificado diferente para husmear en el tráfico SSL, el cliente lo rechazará, impidiendo la interceptación y el descifrado del tráfico.

5. Proteja su dispositivo con un antivirus fiable

Lamentablemente, si los atacantes hackean el ordenador del usuario e instalan un virus, el navegador puede confiar en el proxy MitM como una CA válida. Este proceso suele producirse en segundo plano y es invisible para el usuario. Por esta razón, es crucial proteger su ordenador con un software antivirus fiable.

Si dispone de un software antivirus que proteja su ordenador, su navegador web le alertará sobre la Autoridad de Certificación no fiable y su certificado. Por favor, tenga cuidado y no confíe en ningún proxy MitM malicioso. Compruebe siempre el certificado SSL y su Autoridad de Certificación en caso de duda. Un ataque SSL Sniffing sólo es posible gracias a la credulidad de los usuarios. Por ejemplo: “Haré clic en OK para visitar finalmente ese sitio web”.

Reflexiones finales

Recuerde que el propósito de un certificado SSL es asegurar la conexión entre usted y el servidor web. Por eso no debe permitir la intervención de terceros. SSL Sniffing sólo puede ocurrir si ignoras las advertencias o si haces que tu ordenador sea susceptible a virus y malware. Asegúrese de evitar cualquiera de estos casos.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.