Aunque no lo parezca, un reciente estudio ha demostrado que el 95% de las conexiones HTTPS a las que acedemos podrían ser secuestradas por ataques de ciberdelincuentes, por lo que la seguridad de las mismas no es tan fiable como pensábamos.
Esto se debe fundamentalmente a que los administradores de los servidores fallan en muchas ocasiones a la hora de configurar correctamente las reglas de seguridad HTTP en el transporte de datos (HSTS), por lo que una gran cantidad de tráfico vía HTTPS a día de de hoy podría ser secuestrado por medio de ataques de terceros.
Para aquellos que no lo conozcáis, HSTS es la política de seguridad web que soportan la mayoría de los navegadores web actuales. Esta política de seguridad ayuda a los webmasters a proteger su servicio y a sus usuarios contra ataques man-in-the-middle en sus conexiones HTTPS, todo con el fin de evitar que los atacantes puedan acceder a nuestros datos.
Es por ello que, de acuerdo con un reciente estudio, el 95% de los servidores que en la actualidad ejecutan conexiones HTTPS tienen determinados errores de configuración que hacen que las conexiones abiertas servidor-cliente sean posibles víctimas frente a ataque exteriores. Además ese mismo estudio, que se ha estado llevando a cabo a lo largo de los tres últimos años, apunta a que el uso inadecuado del HSTS se ha mantenido en los mismos niveles a lo largo de este tiempo.
Esto demuestra que los webmasters no se están dando cuenta o no quieren corregir este error, por lo que el fallo de seguridad persiste. La posibilidad de un ataque contra las conexiones HTTPS más débiles es aún mayor, ya que los ciberatacantes pueden elegir entre varios métodos para forzar una conexión de este tipo. Según los investigadores de seguridad, entre este 95% se pueden encontrar una gran cantidad de bancos y sitios web que se encargan de diversas operaciones financieras.
Para utilizar de manera correcta la política de seguridad HSTS, basta con que los webmasters incluyan una simple línea en la configuración del servidor: “strict-Transport-Security: max-age=31536000”. Con esto se logra que los navegadores indiquen al servidor que para acceder a su contenido sólo lo hagan a través de las conexiones HTTPS. Cuando esta opción está activa, incluso si el usuario escribe en la barra de navegación “http: //”, el navegador va a cambiarlo automáticamente a “https: //”, tal y como le indica el propio servidor.
http://www.adslzone.net/2016/03/19/las-conexiones-https-podrian-no-ser-tan-seguras-como-creiamos-en-un-principio/