• Tweet

El secuestro de sesiones HTTP como una posibilidad y herramientas que permiten realizar este tipo de ataques han estado presentes más de la mitad de una década, pero se requirió un complemento de Firefox fácil de usar como Firesheep para señalar lo "obvio" - la falta de un mecanismo de cifrado completo en sitios populares como Facebook, Twitter, Yahoo, Bing, y muchos más-.

“Husmeando” en las sesiones HTTP sin cifrar en un segmento de red, secuestrarlas y suplantar al usuario se ha vuelto posible para cualquiera, incluso para aquellos que no entienden nada acerca de la tecnología que esto implica e incluso para los usuarios principiantes.

Cuatro días después de que Firesheep estuviera disponible, acerca de 400,000 usuarios lo habían descargado y satisfecho su curiosidad. Algunos de ellos probablemente lo usaron para hacer más que eso – ¿Quién sabe cuántas cosas no éticas e ilegales fueron llevadas a cabo con la información que fue accedida a través de su uso- Pero eso no viene al caso, porque sucesos como estos ocurrieron antes de Firesheep – la única diferencia fue que uno tenía que ser moderadamente conocedor de la tecnología para poder llevarlo a cabo-.

"Los sitios web tienen la responsabilidad de proteger a la gente que depende de sus servicios. Ellos han estado ignorando esta responsabilidad por mucho tiempo, y ya es tiempo que todos demandemos un servicio web más seguro. Mi esperanza es que Firesheep ayude a los usuarios a vencer". Dijo Eric Butler, uno de los desarrolladores del complemento para Firefox.

"La historia real aquí no es el éxito de Firesheep, sino el hecho de que algo como eso sea siquiera posible", dijo Ian Gallagher, copresentador de Firesheep en la Toorcon. "Lo mismo se puede decir de las recientes noticias en que los vehículos de Google Street View estaban recolectando tráfico web. No debería ser posible para Google o para cualquiera el recolectar esta información, sea internacional o no. El índice de éxito de Firesheep cambiará rápidamente en el futuro por la cantidad de atención que éste obtenga, al número de sitios web que adopten medidas de seguridad apropiadamente. El verdadero éxito ocurrirá cuando Firesheep no funcione más del todo".

Ambos podrían ver su sueño hecho realidad. De acuerdo a un escritor del sitio NetworkWorld, ya que Microsoft está considerando hacer uso del protocolo SSL en la futura liberación de su buscador web Bing. Es casi seguro que otras compañías también estén considerando adoptar la misma medida.

Como se ha dicho, el secuestro de sesiones HTTP no es cosa nueva, y muchas herramientas que lo hacen posible han surgido en los últimos años.

"Firesheep está haciendo lo mismo que esas herramientas, pero con una interfaz más fácil de usar", dice Gallagher. "Debido a esta simplicidad, Firesheep ha tenido éxito en demostrar el riesgo que implican los sitios web inseguros a una gran audiencia, más que cualquier otra herramienta existente, en un solo día".

Y esto, lectores, es el verdadero valor de esta controversial extensión para el popular navegador web.

DOR/