¿Qué es https?

El protocolo de transferencia de hipertexto hace referencia a las letras que ves en tu navegador delante de la web por la que estés navegando, las cuales pueden ser https o https.

HTTP, es un protocolo de comunicación que nos permite transferir información a través de la Worl Wide Web. Este protocolo es orientado a transaciones y sigue el esquema cliente-servidor. Es decir, para que nos entendamos todos, un usuario, tú mismo por ejemplo, intentas acceder a una página web, por lo que estás enviando una petición http al servidor, que te responderá con la información que le estás pidiendo.http funcionamiento https

En la imagen, podemos ver lo anteriormente explicado de forma sencilla. Tú mandas petición, y el servidor te responde. Ahora bien, aquí viene el problema, cuando nosotros mandamos esa petición, estamos mandando un mensaje al servidor. Este mensaje, puede ser interceptado por cualquier persona que esté conectado a nuestra red. Tan sólo tiene que colocarse en medio de la comunicación entre tu router y tú, para que ese mensaje que tú estas mandado al router antes de que salga a la red en busca del servidor destino.

Pero, ¿qué problema hay con que haya alguien en medio?

Bien, pongámonos en situación. Imagina que tienes una web creada con WordPress que te han hecho, pero tu web usa http porque no tienes un certificado SSL que te acredite una conexión con el protocolo https. Como ya sabeís, para acceder a WordPress mismamente y modificar nuestros contenidos tenemos que ingresar un login y una contraseña. Imagina ahora también, que algún amigo de lo ajeno está conectado a tu red y tú no te has enterado, y que encima está escuchando todo el tráfico que estás generando.

Como las intenciones de esta persona no sean las mejores, da tu sitio web por perdido. Podrá modificar todo el contenido que tengas, cambiar usuarios, acceder a información privada, etc.

¿Como ha ocurrido esto?

Me acabo de dar cuenta que he ido un poco rápido y he querido construir la casa por el tejado. Es fácil y sencillo, esto ha ocurrido porque con el protocolo http todo nuestro tráfico viaja sin cifrar, viaja  en texto plano. Es decir, que si en tu petición para logearte en tu wordpress has puesto como usuario Pepito88 y como contraseña mepicaunpie, esa persona que estaba escuchando en tu red, ha podido ver el mensaje sin ningún tipo de cifrado.

Esto no quiere decir que siempre vaya a haber alguien en nuestra misma red escuchando nuestro tráfico, no. Pero, nunca se sabe cuando puede haber alguien a la escucha.

Después de soltaros todo este rollo, ¿por que https?

Después de esto, sin explicar la diferencia entre ellos, creo que os la podríais imaginar sin ningún problema. El protocolo https permite realizar conexiones seguras entre el cliente y el servidor, ya que los mensajes dentro de este protocolo van cifrados, es decir, aunque nos estén escuchando el tráfico, ya no tienen las cosas tan fáciles.

En Cycle Web, contratando todo con nosotros, te proporcionaremos un certificado SSL para que puedas estar tranquilo y mas seguro de los hackers.

funcionamiento https

 

Como se suele decir. Una imagen vale más que mil palabras.

¿Como se puede hacer ese ataque?

Y para que no os quedeís con la duda, este tipo de ataque, en el que una persona se pone a escuchar el tráfico de la red en medio se llama MITM (Man in the middle). O dicho en castellano, hombre en medio. Como veis hace referencia el nombre del tipo de ataque a la imagen.

Este ataque consiste en aplicar MAC Spoofing para duplicar la dirección MAC del router, y de esta forma, en la ARP (Adress Resolution Protocol) figurará la direccion MAC del dispositivo con el que estemos realizando el ataque. Una vez hemos conseguido esto, ahora el ordenador victima que esté en nuestra red, cuando mande envíe trafico que no esté cifrado nos lo estará enviando primero a nosotros. Es decir, si ese tráfico no está cifrado, lo estaremos viendo pasar como quien no quiere la cosa. Un día dedicaré un post para hablar más detalladamente sobre el MITM y os pondré un ejemplo práctico de como se hace.

Eso sí. No te creas invencible porque tu página tenga un certificado SSL que permita cifrar el tráfico de tu conexión. No hay mayor debilidad en la seguridad informática que uno mismo, lo que se llama Ingeniería Social.

A parte, el uso del protocolo https nos proporciona más ventajas. Mejor posicionamiento SEO, mejor experiencia de usuario y mayor fiabilidad a nuestros clientes, sobre todo si nuestro sitio web es una tienda o e-commerce.

Espero que os haya sido de utilidad, cualquier duda no dudéis dejarla en los comentarios.

Saludos

 

Sobre mí

¡Hola a todo@s!
Soy Miguel Negro López, creador de CycleWeb, estudiante de Ingeniería Informática de tercer curso en la Universidad de Castilla La Mancha ,más concretamente en Ciudad Real. Apasionado del deporte pero sobre todo del ciclismo. De ahí el nombre de este pequeño proyecto.