Visitar un sitio web con un certificado SSL no significa que el sitio web sea auténtico. La capa de sockets seguros (Secure Sockets Layer, SSL) protege a los usuarios en dos formas, utiliza una llave pública para cifrar información sensible entre los usuarios y el sitio web (como nombres de usuario, contraseñas o números de tarjetas de crédito) y verifica la identidad de los sitios web.

Hoy en día los cibercriminales usan todo a su alcance para robar las credenciales de los usuarios y otros datos sensibles con el fin de inyectar certificados falsos, haciéndose pasar por medios de comunicación, comercio en línea y sitios de finanzas, entre otros.

Un grupo de investigadores, Lin-Shung Huang, Alex Ricey, Erling Ellingseny y Collin Jackson de la Universidad de Carnegie Mellon en colaboración con Facebook, han analizando [PDF] más de 3 millones de conexiones SSL. Encontraron fuerte evidencia de que al menos 6,845, es decir, el 0.2% de estas conexiones han sido manipuladas con certificados falsificados, es decir, certificados digitales con firma que no serían autorizados por los propietarios de sitios web legítimos, pero que son aceptados como válidos por la mayoría de los navegadores.

Los investigadores se apoyaron ampliamente en el plugin de flash player para habilitar la funcionalidad de socket e implementaron un enlace parcial SSL en su propio navegador para capturar certificados falsificados. Utilizaron este mecanismo de detección en un sitio del top 10 de Alexa, es decir en Facebook, quienes finalizan las conexiones a través de un conjunto diverso de operadores de redes de todo el mundo.

General mente los navegadores web modernos muestran un mensaje de advertencia cuando se enfrentan a errores durante la validación de certificados SSL, pero la página de advertencia aún permite a los usuarios continuar con una conexión potencialmente insegura.

 

Las conexiones SSL falsas argumentan que las advertencias de certificado son causadas en su mayoría por malas configuraciones del servidor. Conforme a la encuesta de usabilidad, muchos usuarios realmente ignoran las advertencias de certificados SSL y confían en certificados falsificados, esto podría hacerlos vulnerables a los ataques más simples de intercepción SSL.

 

Esto significa que un atacante puede suplantar con éxito cualquier sitio web, incluso para conexiones seguras, es decir HTTPS, para llevar a cabo un ataque de hombre en el medio SSL e interceptar las conexiones cifradas.