La semana pasada todo el mundo, [entre ellos mi compañero Eduardo](http://alt1040.com/2010/10/firesheep-facebook-google-twitter-windows-live-wordpress-google), habló de la nueva extensión **Firesheep** creada por Eric Butler para el navegador web [Firefox](/tag/firefox) la cual básicamente permite que cualquiera pueda robar muy fácilmente los datos de acceso a diversas redes sociales de cualquier persona que esté conectada a una red Wi-Fi abierta.

“*¿Y cómo lo consigue?*” estarán pensando los poco duchos en seguridad informática. Pues muy fácil, aprovechándose de la dejadez de multitud de páginas web que no cifran el tráfico entre ellas y sus usuarios, con lo que la transmisión de *cookies* entre ambos (en las que se incluyen los datos de acceso para que el usuario no tenga que hacer login cada vez que entra) se hace “en abierto” y es muy fácil robar la información contenidas en ellas.

Esto no es nuevo ni mucho menos pero **el problema es que Firesheep facilita mucho las cosas**. Robar credenciales con ella es tan simple como conectarse a una red Wi-Fi abierta donde haya un buen número de usuarios conectados (cuantos más mejor, pongamos la de un evento) y picar en un botón. Listo, la extensión mostrará al atacante en una nueva pestaña del navegador todas las cuentas de la red Wi-Fi abierta a las que ha podido conectar y nos dará control sobre ellas como si fuéramos su legítimo dueño.

Dicho todo esto lo siguiente a preguntarse es **cómo protegerse de Firesheep**. Pues bueno, hay varias opciones, os dejo con ellas seguidamente y espero que esto sirva para que todos seamos más conscientes de los peligros que acarrea conectarse a redes Wi-Fi abiertas:

- Usando servicio [VPN](/tag/vpn) mientras se navega: una buena solución es navegar a través de VPN (siglas de [Red privada virtual](http://es.wikipedia.org/wiki/Red_privada_virtual)). Si quieres saber más sobre el tema en [Uberbin.net tienen un estupendo post donde lo tratan de maneras más pormenorizada](http://www.uberbin.net/archivos/seguridad/evitar-firesheep.php).

- Con la extensión FireShepherd: si lo de los VPN no te convence la otra opción que tienes es [instalar FireShepherd](http://notendur.hi.is/~gas15/FireShepherd/), una extensión para Firefox cuyo único cometido es “confundir” a Firesheep para impedirle el robo de información importante.

- Con la extensión Force-TLS: otra extensión para Firefox que te ayudará a luchar contra Firesheep es [Force-TLS](https://addons.mozilla.org/en-US/firefox/addon/12714/), la cual básicamente nos permite "obligar" a los sitios web que indiquemos a usar el protocolo HTTPS en vez de HTTP. A diferencia del anterior en este tendremos que configurar nosotros alguna cosa, pero es muy fácil (en Techtástico encontrarás un [pequeño tutorial sobre cómo configurar el *plugin*](http://techtastico.com/post/como-proteger-firesheep/)).

- Utiliza 3G: finalmente el consejo obvio para evitar tener problemas con redes Wi-Fi abiertas es no conectarse a ellas y optar por conexiones 3G (aunque claro, no todo el mundo tiene planes de internet móvil contratados).

Participa en la conversación

26 Comentarios

Deja tu comentario

  1. una pregunta, estaba usando Facebook con «Https» y de repente se puso en rojo y tachado!!!?!¡¡ alguien me puede explicar por qué?? qué significa eso? que se estan metiendo en la cuenta o qué??? gracias de antemano

  2. Gracias por la información. He encontrado unas páginas relacionadas con esto que muestran alternativas a Facebook y demás (y sus problemas) más en línea con GNU/Linux y el software libre:

    • doculinux.com/2010/03/27/cada-vez-mas-empresas-vigilan-las-redes-sociales-de-sus-empleados/
    • pillateunlinux.com/%C2%BFde-verdad-las-redes-sociales-mejoran-la-comunicacion-global/
    • sinwindows.wordpress.com/2010/12/22/por-que-tendremos-servidores-en-casa/
    • es.wikipedia.org/wiki/FreedomBox
    • wiki.debian.org/FreedomBox/
    • redusers.com/noticias/richard-stallman-cloud-computing-es-peor-que-una-estupidez/
    • miexperienciaubuntu.blogspot.com/2011/04/rtve-solo-con-facebook.html
    • baquia.com/posts/2011-03-23-richard-stallman-facebook-no-es-tu-amigo-no-lo-uses-su-modelo-de-negocio-es-abusar-de-los-datos-de-sus-usuarios
    • hoytecnologia.com/noticias/Joaquin-Ayuso-cofundador-Tuenti:/286991
    1. El tema no se trata de tu red, sino de cuando te conectas a una red inalambrica abierta. Y claro es obvio de que si tienes tu propia red, de que le pongas una clave no crees?

  3. En TechCrunch (en los comentarios) ya explicaron por que Force-TLS o HTTP_S Everywhere no sirven para este tipo de asuntos.

    http://techcrunch.com/2010/10/25/firesheep/

    Extracto del comentario:

    «NP, NO, NO. Neither Force-TSL nor HTTPS-Anywhere solve the problem, since many sites don’t support https site-wide, only for the login. So for other pages, like the settings page, or archives, if you manually try to put an ‘s’ at the end of https, you don’t get to a valid page — you just wait forever until the browser times out. The only real solution, without the site-owner co-operation is to do VPN or SSH tunneling. But Joe Schmoe may not know how, or have servers at his disposal to tunnel to, or to VPN»

    El problema es que solo usan SSL para el login y después (como en Facebook) te redireccionan a páginas via http con lo cual la cookie con tus datos (que es lo que explota el ataque) se sigue enviando de forma abierta y puede ser capturada y hijackeada.

  4. dice:; «Con la extensión Force-TLS: otra extensión para Firefox que te ayudará a luchar contra FireShepherd » debería decir: «Con la extensión Force-TLS: otra extensión para Firefox que te ayudará a luchar contra FireSheep»

  5. Veo q FireShepherd solo esta para l Firefox de Windows pues es un .exe, pero que pasa con la version de este navegador para Linux??