Piénsalo dos veces antes de iniciar sesión en Facebook con acceso WiFi gratuito, a menos que no te importe que los fisgones lean y puedan alterar tu perfil.
Un desarrollador de software espera educar a los usuarios sobre los peligros de usar redes WiFi no seguras con un programa informático que facilite el hackeo de cuentas de Facebook y Twitter.
Con una descarga de Firesheep, un complemento para el navegador web Firefox de Mozilla, todo lo que se necesita es paciencia y un par de clics para acceder al perfil de alguien en una variedad de sitios web, incluido el sitio para compartir fotos Flickr y la plataforma de blogs WordPress.
La historia continúa debajo del anuncio
El programa detecta los inicios de sesión a través de la red y conecta a los usuarios de Firesheep con esas cuentas.
» Los sitios web tienen la responsabilidad de proteger a las personas que dependen de sus servicios. Han estado ignorando esta responsabilidad durante demasiado tiempo, y es hora de que todos exijan una web más segura», escribió Eric Butler, con sede en Seattle, en una publicación de blog explicando su programa.
Butler, que rechazó las solicitudes de entrevistas, dijo que no todos los sitios web son vulnerables a Firesheep, pero demasiados sitios no son lo suficientemente seguros como para frustrar a los hackers. Si bien la información de inicio de sesión escrita puede estar protegida, la información de identificación del usuario en las cookies, pequeños archivos de texto a los que los sitios web acceden en la computadora de un usuario, no lo está.
» En una red inalámbrica abierta, las cookies se gritan básicamente por el aire, lo que hace que estos ataques sean extremadamente fáciles», escribió Butler.
«La única solución eficaz para este problema es el cifrado completo de extremo a extremo, conocido en la web como HTTPS o SSL.»
En poco más de 24 horas, Firesheep se descargó más de 129.000 veces. Entre los usuarios estaba Ian Robertson, un profesional de TI en Ottawa que llevó su computadora portátil a un par de cafeterías locales para probar el programa con un colega.
» Pude ver alrededor de media docena de cuentas en Facebook y pude iniciar sesión en sus cuentas, ver todas sus fotos, toda su información privada, sus números de teléfono, cualquier cosa», dijo Robertson.
La historia continúa debajo del anuncio
«Solo para una prueba con uno de mis colegas, inicié sesión en su perfil y pude cambiar su estado a soltero. Y en unos 10 minutos, su novia comentó y dijo: ‘¿Por qué??»
Robertson dijo que estaba sorprendido de lo fácil que era de usar y le preocupaba que otros pudieran descargarlo para fines mucho más maliciosos que él.
«Te sientes un poco poderoso, supongo, como si pudieras entrar y enviar spam si quisieras», dijo.
Firesheep está en el radar del comisionado de privacidad de Canadá, pero no ha habido consultas públicas sobre el programa y no hay ninguna investigación en curso, dijo la portavoz Anne-Marie Hayden.
Señaló que la Ley de Protección de la Información Personal y Documentos Electrónicos requiere que las empresas utilicen salvaguardias para proteger los datos personales.
«La información personal estará protegida por medidas de seguridad adecuadas a la sensibilidad de la información. Las salvaguardias de seguridad protegerán la información personal contra la pérdida o el robo, así como el acceso no autorizado, la divulgación, la copia, el uso o la modificación», dice el artículo 7 de la ley, que también establece que la protección debe incluir medidas físicas y tecnológicas», por ejemplo, el uso de contraseñas y cifrado.»
» Debido a que no hemos investigado este problema, no podemos decir si un sitio en particular ha violado la disposición de salvaguardias de (la ley)», dijo Hayden.
En un comunicado, Facebook dijo que está trabajando para reforzar su cifrado y advirtió sobre los riesgos de usar el sitio a través de WiFi.
«Hemos estado haciendo pruebas de progreso de acceso SSL a Facebook y esperamos proporcionarlo como una opción en los próximos meses», dice el comunicado.
«Como siempre, recomendamos a las personas que tengan cuidado al enviar o recibir información a través de redes Wi-Fi no seguras.»
Kris Constable, fundador de la empresa con sede en Victoria, PrivaSecTech, dijo que los problemas de seguridad planteados por las redes inalámbricas inseguras podrían ser noticias para el público en general, pero durante mucho tiempo han sido explotados por hackers.
Firesheep solo elimina la barrera de entrada para los aspirantes a hackers.
«Lo que se hace es hacer el ataque mucho más bonito … es como se ve el hacking en las películas», dijo Constable.
Espera que Firesheep finalmente ejerza suficiente presión sobre los líderes empresariales para invertir en un mejor cifrado.
«Cuando agregas algo como cifrado a cualquier tecnología, va a costar más a las empresas implementarlo, por lo que no están motivadas para hacerlo, a pesar de que va a hacer que las personas sean más seguras», dijo.
» Pero con suerte (Firesheep) va a obligar a las empresas a usar más cifrado y creo que con más conciencia … la gente va a empezar a pensar, ‘ Bueno, tal vez cuando voy a hablar de cosas sensibles necesito empezar a cifrar mis correos electrónicos.»La gente comenzará a pensar con cada sitio web al que vaya y cada correo electrónico que envíe», ¿Está encriptado o no?'»
Para protegerse de ser hackeado mientras usa WiFi abierto, Butler recomienda otro complemento para FireFox llamado HTTPS-Everywhere, creado por la Electronic Frontier Foundation. Protege contra la filtración de datos mientras usa sitios como Facebook, Twitter, Amazon, WordPress.com blogs y PayPal.