Es seguro el tráfico HTTPS en los navegadores móviles

Si crees que el tráfico HTTPS desde tu navegador móvil viaja sin cambios y de forma segura encriptado hasta el servidor web remoto desde el que solicitaste información, no estés tan seguro. Los desarrolladores de Opera Mini fueron preguntados:

¿Existe seguridad de extremo a extremo entre mi teléfono y, por ejemplo, paypal.com o mi banco?

La respuesta fue:

Opera Mini utiliza un servidor transcodificador para traducir HTML/CSS/JavaScript a un formato más compacto. También comprime cualquier imagen para adaptarla a la pantalla de tu teléfono. Este paso de traducción hace que Opera Mini sea rápido, pequeño y muy económico de usar. Para poder hacer esta traducción, el servidor de Opera Mini necesita tener acceso a la versión sin encriptar de la página web. Por lo tanto, no es posible tener encriptación de extremo a extremo entre el cliente y el servidor web remoto.

Para eliminar cualquier duda:

Si necesitas encriptación de extremo a extremo completa, debes usar un navegador web completo como Opera Mobile.

Cómo gestionar y desactivar plugins en tu navegador para proteger tus datos

Para dejar las cosas claras, "encriptación de extremo a extremo" en este caso significa que el tráfico HTTPS (encriptado) viaja hasta un servidor web remoto, por ejemplo un banco, sin alteraciones (sin desencriptar).

No utilizo ninguno de los navegadores web de Opera. Seré honesto, incluso si utilizara Opera, no hubiera conocido sobre la redirección. Solo empecé a revisar qué estaban haciendo los navegadores web móviles después de que un colega me informó que la prensa tecnológica crucificó a Nokia por hacer algo similar.

Índice de Contenido
  1. ¿Cómo empezó todo?
  2. ¿Por qué hacerlo?
  3. Contornos
  4. Pensamientos finales

¿Cómo empezó todo?

La polémica sobre los navegadores web móviles comenzó cuando Gaurang Pandya, Arquitecto de Seguridad de Infraestructura en Unisys Global Services India, determinó que las solicitudes del navegador web HTTP en su teléfono Nokia eran redirigidas inesperadamente a los servidores de Nokia. Gaurang explica en su blog personal:

Se ha notado que el tráfico de navegación por Internet, en lugar de llegar directamente al servidor solicitado, está siendo redirigido a servidores proxy. Si se utiliza el navegador de Nokia, son redirigidos a los servidores proxy de Nokia/Ovi, y si se utiliza el navegador Opera Mini, son redirigidos a los servidores proxy de Opera.

Luego, Gaurang intentó evitar la redirección:

No pude encontrar ninguna forma sencilla de evitar esta configuración de proxy y permitir que mi tráfico de Internet pase normalmente. Este comportamiento se ha observado independientemente de si la navegación se realiza a través de conexiones de red 3G o Wi-Fi.

Es seguro usar administradores de contraseñas en línea

Gaurang no se detuvo ahí, decidió verificar si lo mismo ocurría con las solicitudes de navegación web HTTPS. Encontró su respuesta y publicó sus hallazgos en esta entrada de blog:

Es evidente que Nokia está llevando a cabo un ataque de intermediario en el tráfico HTTPS sensible que se origina desde su teléfono, y por lo tanto tienen acceso a la información de texto claro que podría incluir las credenciales de usuario de varios sitios, como redes sociales, bancos, información de tarjetas de crédito o cualquier cosa que sea sensible en su naturaleza.

No hace falta decir que los comentarios de Gaurang atrajeron mucha atención. La publicación del blog recibió 10,000 visitas en las primeras 24 horas y actualmente tiene 20 páginas de comentarios debatiendo si redirigir el tráfico podría llamarse "oficialmente" un ataque de intermediario o no. Llegaré a eso más adelante. Por ahora, me gustaría centrarme en el comentario de Mark Durant, de Comunicaciones de Nokia:

Tomamos muy en serio la privacidad y seguridad de nuestros consumidores y sus datos. La compresión que ocurre dentro del Navegador Xpress de Nokia permite a los usuarios navegar por la web más rápido y obtener más valor de sus planes de datos. Es importante destacar que los servidores proxy no almacenan el contenido de las páginas web visitadas por nuestros usuarios ni ninguna información que introduzcan en ellas. Cuando se requiere un descifrado temporal de las conexiones HTTPS en nuestros servidores proxy, para transformar y proporcionar el contenido de los usuarios, se realiza de manera segura.

Esta confirmación por parte de Nokia prácticamente acalló a los que no estaban de acuerdo con los resultados de Gaurang.

¿Por qué hacerlo?

¿Por qué pasar por todo esto? Los desarrolladores debían saber que habría críticas de personas preocupadas por la privacidad. Como se mencionó en la cita anterior, se trata de reorganizar la página web para que sea más rápida y se pueda ver en un dispositivo móvil. Entonces, la pregunta es qué tiene que ver un ataque de intermediario, una redirección de proxy o como lo quieras llamar, con mejorar la experiencia de navegación web móvil.

Cómo afecta el sesgo de los motores de búsqueda a los resultados

Los navegadores web móviles no son tan potentes como los que están instalados en las computadoras. Para ayudar, Nokia y Opera trasladan la mayor parte del trabajo de renderizado de los navegadores web móviles a los servidores domésticos del navegador web, que después de optimizar el código de la página web envían la información de la página web de vuelta al navegador web móvil para su visualización.

El problema surge cuando el tráfico del navegador web móvil está encriptado (HTTPS). Los servidores de Nokia u Opera no pueden manipular la respuesta de la página web. Por lo tanto, Nokia y Opera han alterado sus navegadores web móviles para configurar un enlace encriptado a sus servidores. Es decir, el tráfico HTTPS que vemos también es el tráfico HTTPS que Nokia y Opera pueden desencriptar, ya que ellos tienen las claves de encriptación.

Puede ayudar ver una de las pruebas realizadas por Gaurang. Estaba observando lo que sucedía cuando su navegador web móvil de Nokia enviaba una solicitud de sitio web para Google.com.

Estos son los pasos:

  • El navegador web móvil intenta conectarse a https://www.google.com.
  • La conexión es redirigida a https://cloud13.browser.ovi.com (servidor de Nokia, como se ve en la diapositiva anterior).
  • El navegador web móvil recibe un certificado HTTPS válido para cloud13.browser.ovi.com, no para Google.com.
  • El servidor detrás de cloud13.browser.ovi.com establece una conexión a https://www.google.com, actuando como el navegador web móvil por proxy.
  • El servidor de Nokia replica las solicitudes y respuestas entre el navegador web móvil y Google.com.

Una forma de verlo es que hay dos procesos de encriptación distintos que tienen lugar, uno en el navegador web móvil y otro en el servidor de Nokia. El problema entonces es si nos sentimos cómodos con que Nokia, Opera o cualquier otro desarrollador de navegadores web móviles intervenga y haga lo que quiera con la información que consideramos sensible, de lo contrario, ¿por qué usaríamos encriptación HTTPS?

Contornos

He estado tratando de determinar qué navegadores web móviles utilizan este enfoque, pero revisar las políticas de privacidad y ponerse en contacto con los desarrolladores es un proceso lento. Por ahora, el mejor enfoque puede ser asumir que cualquier navegador web móvil que muestra las páginas web HTTP y especialmente HTTPS de manera diferente que en una computadora debe ser sospechoso.

Cómo proteger tu servidor Apache de ataques DDoS

Ya utilizo un servicio proxy con mi computadora y dispositivos móviles, así que creo que he estado evitando este problema sin saberlo. Esta puede ser una solución alternativa para aquellos que se preocupan por la información sensible que está controlada por otra organización.

Pensamientos finales

Debería haber estado consciente de la redirección del tráfico HTTPS. He escrito dos artículos, "Ashkan Soltani introduce MobileScope, un enfoque innovador para la privacidad en línea" y "Descubre qué aplicaciones móviles están robando tu identidad", en los que ambos destacan aplicaciones que utilizan técnicas de redirección.

También quiero mencionar que Gaurang tiene una actualización en su blog, donde afirma que Nokia todavía utiliza la redirección de proxy HTTPS, pero ya no utiliza tecnología de intermediario, lo cual es una buena señal de que han escuchado. Me preguntaron por qué se criticaba tanto a Nokia por usar la redirección y no a Opera. Tendría que decir que es porque Opera fue honesto al respecto y Nokia no lo fue.

Me gustaría terminar con una cita de Bruce Schneier, un conocido experto en seguridad:

Este es un área donde las preocupaciones de seguridad se enfrentan a otros problemas. La respuesta de Nokia, que básicamente es 'confía en nosotros, no estamos mirando tus datos', se convertirá cada vez más en la norma.

Quiero agradecer a Gaurang por su investigación y por permitirme utilizar citas y diapositivas de su sitio web.

Cómo bloquear el spam en tu sitio de WordPress

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Es seguro el tráfico HTTPS en los navegadores móviles , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.