¿Qué es un ataque SSL Stripping y cómo evitarlo?

Última actualización por Dionisie Gitlan
SSL Stripping Attack

Desde su introducción en el mercado comercial, los certificados SSL han experimentado varias mejoras de seguridad y ahora presumen de un nivel de cifrado casi indescifrable. Sin embargo, las continuas mejoras de SSL no han disuadido a los cínicos atacantes de intentar robar los datos cifrados.

Incluso con medidas de seguridad robustas, una ciberamenaza conocida como SSL stripping se cierne sobre la Web, buscando las vulnerabilidades de seguridad y las lagunas en la configuración HTTPS, lista para atacar al primer descuido. Este artículo explica qué es un ataque de eliminación de SSL, por qué es peligroso y cómo puede detectar y evitar que los ataques de eliminación de SSL amenacen su sitio web y su negocio.

Índice

  1. ¿Qué es la eliminación de SSL?
  2. ¿Cómo funciona la eliminación de SSL?
  3. ¿Cuáles son los tipos de eliminación de SSL?
  4. ¿Por qué es tan peligrosa la banda SSL?
  5. ¿Cómo detectar la eliminación de SSL?
  6. ¿Cómo evitar la supresión de SSL?
  7. Conclusión

¿Qué es la eliminación de SSL?

El desprotegido SSL es un ciberataque que ataca la comunicación segura entre un usuario y un sitio web. Aprovecha el hecho de que la mayoría de los sitios web y servicios en línea utilizan el cifrado SSL/TLS para proteger la información confidencial transmitida por Internet. Un ataque SSL strip degrada una conexión HTTPS segura a una conexión HTTP no segura, lo que facilita a los ciberdelincuentes interceptar y manipular los datos en tránsito entre un servidor web y un cliente.

¿Cómo funciona la eliminación de SSL?

En 2009, Moxie Marlinspike, conocida investigadora estadounidense de seguridad informática que aboga por el uso generalizado de criptografía fuerte y PET (Privacy Enhancing Technologies), habló por primera vez de la banda SSL en el evento de seguridad informática Black Hat.

Para entender mejor cómo funcionan los ataques de eliminación de SSL, consideremos un escenario en el que un usuario quiere acceder a un sitio web a través de HTTPS. El navegador web del usuario inicia la conexión solicitando un certificado SSL al sitio web. Si el certificado SSL del sitio web es válido, el navegador confiará en él y permitirá a los visitantes acceder a la página web.

Sin embargo, en un ataque de SSL stripping, el atacante actúa como un man-in-the-middle, interceptando la petición inicial y degradando la conexión a HTTP antes de que llegue al sitio web. Como resultado, el navegador no es consciente del ataque y permite al hacker interceptar, leer y modificar cualquier dato transmitido entre el usuario y el sitio web.

El atacante se sitúa entre el usuario y el sitio web a través de diversos medios, como un punto de acceso Wi-Fi fraudulento o un dispositivo de red comprometido. A continuación, modifican la respuesta del sitio web, eliminando cualquier referencia a HTTPS y sustituyéndola por HTTP.

Además, pueden eliminar enlaces seguros, redireccionamientos u otros elementos que apliquen HTTPS.

Dado que el navegador del usuario cree que el sitio web utiliza HTTP, cualquier solicitud posterior que realice el usuario, como el envío de credenciales de inicio de sesión o información confidencial, se enviará a través de una conexión insegura.

¿Cuáles son los tipos de eliminación de SSL?

Existen dos tipos comunes de ataques de eliminación de SSL: pasivos y activos. Profundicemos en detalles más técnicos y exploremos cada ataque.

Eliminación pasiva de SSL

En un ataque pasivo de eliminación de SSL, el atacante intercepta la comunicación entre el usuario y el sitio web sin modificar ningún dato. He aquí un desglose del proceso:

  1. El usuario inicia una conexión al sitio web utilizando HTTPS, pero el atacante intercepta esta conexión.
  2. A continuación, el hacker realiza un ataque de degradación SSL manipulando las cabeceras de respuesta enviadas de vuelta al navegador del usuario.
  3. Una vez degradada la conexión, el atacante puede interceptar y ver toda la comunicación entre el usuario y el sitio web.
  4. El atacante recoge silenciosamente los datos interceptados con fines maliciosos, como el robo de identidad, el compromiso de la cuenta o el acceso no autorizado a recursos sensibles.

Eliminación activa de SSL

Los ataques de eliminación activa de SSL van un paso más allá, ya que no sólo degradan la conexión a HTTP, sino que también modifican el contenido de las páginas web intercambiadas entre el usuario y el sitio web. He aquí una explicación más detallada:

  1. El atacante intercepta la conexión HTTPS del usuario y la degrada a HTTP, de forma similar a la eliminación pasiva de SSL.
  2. En la eliminación activa de SSL, el hacker altera activamente el contenido de las páginas web intercambiadas entre el usuario y el sitio web. Pueden utilizar diversas técnicas, como:
  • Modificación de enlaces: El atacante modifica los enlaces dentro de la página web para que apunten a URL HTTP inseguras en lugar de URL HTTPS seguras.
  • Inyección de código malicioso: El atacante puede insertar código JavaScript o HTML malicioso en la página web para capturar la entrada del usuario o robar datos confidenciales.
  • Redirigir al usuario: El atacante puede redirigir al usuario a un sitio web falso que imita al legítimo, un clásico ataque de phishing con consecuencias potencialmente nefastas.

Los ataques activos de eliminación de SSL son más peligrosos que los pasivos porque implican la manipulación del contenido y pueden llevar a una explotación adicional y comprometer la información del usuario.

¿Por qué es tan peligrosa la banda SSL?

SSL Strip redirige todo el tráfico procedente de la máquina de la víctima hacia un proxy creado por el atacante. Ahora, pongámonos en la piel del atacante. Hemos creado una conexión entre la víctima y nuestro servidor proxy. Puede interceptar todo el tráfico que nos llega. Sin utilizar la Tira SSL simplemente recibiríamos los datos encriptados, que no podremos descifrar.

Pero las cosas cambian drásticamente cuando añadimos la banda SSL a la mezcla. Si alguien se conecta a nuestro servidor proxy, con el Strip ejecutándose en segundo plano, la víctima no recibirá ninguna alerta del navegador sobre el error del certificado SSL. No tendrán ninguna sospecha de que se está produciendo un ataque real. Entonces, ¿cómo puede la banda SSL engañar tanto al navegador como al servidor del sitio web?

La Franja aprovecha la forma en que la mayoría de los usuarios llegan a los sitios web SSL. La mayoría de los visitantes se conectan a una página de un sitio web que redirige (por ejemplo, las redirecciones 302), o llegan a una página SSL a través de un enlace desde un sitio no SSL. Si la víctima desea, por ejemplo, comprar un producto digital y teclea la siguiente URL en la barra de direcciones www.somedigitalproduct.com, el navegador se conecta a la máquina del atacante y espera una respuesta del servidor. El atacante, a su vez, reenvía la solicitud de la víctima al servidor de la tienda online y recibe la página de pago seguro HTTPS. Por ejemplo, https://www.somedigitalproduct.com.

En este punto, el atacante tiene control total sobre la página de pago seguro. Lo degrada de HTTPS a HTTP y lo envía de vuelta al navegador de la víctima. El navegador se redirige ahora a http://www.somedigitalproduct.com. A partir de ahora, todos los datos de la víctima se transferirán en formato de texto plano, y el atacante podrá interceptarlos. Mientras tanto, el servidor del sitio web pensará que ha establecido con éxito una conexión segura. Efectivamente lo hizo, pero con la máquina del atacante, no con la de la víctima.

¿Cómo detectar la eliminación de SSL?

Aunque detectar los ataques de eliminación de SSL puede ser complicado, hay varios indicadores a los que puede prestar atención. He aquí cinco señales que pueden ayudar a detectar el despojo de SSL.

  1. Falta el símbolo del candado: Normalmente, cuando visitas un sitio web seguro, tu navegador muestra un símbolo de candado en la barra de direcciones cerca de la URL del sitio web. Si el símbolo del candado no aparece o es sustituido por un icono de advertencia, podría indicar que la conexión es ahora a través de HTTP, y podría producirse la eliminación de SSL.
  2. URL incoherente: Preste atención a la URL del sitio web. Cuando se carga inicialmente un sitio web seguro a través de HTTPS, la URL comienza con “https://”. Si, en cualquier momento durante su interacción con el sitio web, la URL cambia a “http://” en lugar de permanecer como “https://”, esto sugiere que la conexión se ha degradado y la eliminación de SSL puede estar en curso.
  3. Mensajes de advertencia de los navegadores: Los navegadores modernos suelen mostrar mensajes de advertencia cuando hay problemas de seguridad. Si su navegador indica que el certificado de seguridad del sitio web no es válido o que la conexión no es segura, debe abandonar el sitio.
  4. Advertencias de contenido mixto: Los sitios web seguros (HTTPS) no deben cargar ningún contenido, como imágenes o scripts, de fuentes inseguras (HTTP). Si su navegador muestra advertencias sobre “contenido mixto”, sugiere que la conexión segura puede haber sido manipulada, lo que podría indicar un ataque de eliminación de SSL.
  5. Comportamiento inesperado: Si observas un comportamiento inusual en un sitio web, como falta de funcionalidad, imágenes rotas o elementos de página incoherentes, también podría ser un signo de un ataque de eliminación de SSL. Los atacantes pueden modificar el contenido o inyectar código malicioso, provocando un comportamiento inesperado del sitio web.

Vale la pena señalar que estos indicadores no son infalibles y no siempre pueden indicar un ataque MitM o una banda SSL. Sin embargo, si se encuentra con alguno de estos signos, es aconsejable actuar con precaución y considerar la posibilidad de un ataque en curso.

¿Cómo evitar la supresión de SSL?

La prevención de la eliminación de SSL requiere un enfoque multicapa. En primer lugar, los propietarios de sitios web deben imponer conexiones HTTPS por defecto mediante la implementación de HTTP Strict Transport Security (HSTS), que ordena al navegador del usuario que sólo se comunique con el sitio web a través de conexiones HTTPS seguras. Además, los propietarios de sitios web deben renovar el certificado SSL a tiempo y emplear los últimos protocolos criptográficos y algoritmos de cifrado.

Desde la perspectiva del usuario, es crucial estar alerta y verificar la seguridad de los sitios web antes de compartir información sensible. Los usuarios deben buscar el símbolo del candado, comprobar si aparece el prefijo “https” en la URL y ser precavidos al introducir credenciales de acceso o realizar transacciones en línea en sitios web desconocidos o sospechosos. Utilizar una VPN (Red Privada Virtual) fiable también puede ayudar a protegerse contra los ataques de desprotección SSL, ya que cifra todo el tráfico de Internet y evita que sea interceptado por posibles atacantes.

Conclusión

A pesar de los avances en el cifrado SSL/TLS, los atacantes siguen aprovechando vulnerabilidades y lagunas para convertir conexiones HTTPS seguras en conexiones HTTP inseguras. Ahora es más fácil detectar los ataques de supresión de SSL porque todos los navegadores modernos marcan los sitios web HTTP como inseguros y animan a los usuarios a no utilizarlos. Al mantenerse informados, aplicar medidas de seguridad sólidas y ser proactivos en la detección y prevención de estos ataques, los particulares y las empresas pueden garantizar interacciones en línea más seguras.

Preguntas frecuentes

¿Qué tipo de ataque es el SSL Stripping?

SSL stripping es un tipo de ataque man-in-the-middle que ataca la comunicación segura entre un usuario y un sitio web degradando la conexión segura HTTPS a una conexión HTTP no segura.

Copiar enlace

¿Cuál es un ejemplo de eliminación de SSL?

En una cafetería que utiliza Wi-Fi público, un atacante lleva a cabo un ataque SSL stripping interceptando y degradando la conexión HTTPS segura de un usuario a una conexión HTTP no segura, lo que le permite capturar datos sensibles como credenciales de inicio de sesión y potencialmente obtener acceso no autorizado a cuentas en línea.

Copiar enlace

¿Es la eliminación de SSL un ataque de degradación?

Sí, el SSL stripping puede considerarse un tipo de ataque de downgrade. Degrada la conexión HTTPS al vulnerable protocolo HTTP, en el que los datos se transmiten en texto plano. Como resultado, los atacantes pueden interceptar y descifrar la información en tránsito.

Copiar enlace

¿Es la eliminación de SSL un ataque MitM?

Sí, la eliminación de SSL es una forma de ataque MitM. El atacante se sitúa entre el usuario y el sitio web, interceptando la comunicación y manipulando el tráfico que compromete la seguridad y privacidad de los datos sensibles.

Copiar enlace

¿Funciona la eliminación de SSL en TLS?

Sí, la eliminación de SSL puede funcionar con TLS (Transport Layer Security), el sucesor de SSL (Secure Sockets Layer). Aunque el nombre hace referencia a SSL, los atacantes pueden utilizar la técnica para despojar de seguridad tanto a las conexiones SSL como a las TLS, ya que el principio subyacente de degradar la conexión sigue siendo el mismo.

Copiar enlace

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

¡Ahorra un 10% ahora!
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.

Entradas relacionadas
SSL Prevent Man-In-The-Middle Attacks
¿Cómo evita SSL los ataques de intermediario?
SSL Sniffing
¿Qué es el SSL Sniffing y cómo evitarlo?
Cybersecurity Awareness
Introducción a la concienciación sobre ciberseguridad
Protect Sensitive Data
¿Cómo proteger la información sensible?
Secure Online Payment Processing
11 mejores prácticas para procesar pagos en línea de forma segura