HTTPS ya no es seguro: consiguen obtener nuestros datos cifrados en 30 segundos

Hoy ha llegado el fin de otro método de cifrado muy usado, el HTTPs. Varios hackers han creado Breach, una herramienta para sacar en unos pocos segundos datos cifrados de nuestra navegación HTTPs.

El protocolo HTTPs no es mas que el protocolo HTTP pero con un cifrado TLS o SSL que fortifica nuestros datos para que sean seguros. En la navegación por internet lo podéis encontrar de varias maneras: con un candado, la barra cambia de color...

Breach se ha diseñado específicamente para saltarse ese cifrado y así poder acceder nuestros datos, como el número de la tarjeta de crédito, contraseñas, usuarios, etc.

Pero antes de perpetrar este ataque, hay que seguir varios pasos:

1. Realizar un ataque Man-in-the-Middle (consiste en ponerse en medio de nuestras comunicaciones con el servidor)
2. Dependiendo de las solicitudes al servidor, el numero de repeticiones de respuesta y varios datos mas podrán sacar nuestros datos.

Es un ataque paciente, pero como han conseguido automatizarlo todo es muy fácil conseguir los datos.

Estas son las palabras de Yoel Gluck, el cual es uno de los creadores de Breach:

“No estamos descifrando todo el canal, sino que solo extraemos los secretos que nos importan. Es un ataque muy dirigido. Solo tenemos que encontrar el sitio [de la respuesta de una página web] que tiene la clave o la contraseña e ir a por esa página para extraer el secreto. En general, cualquier secreto que sea relevante y localizado en el cuerpo [de la página] [...] tenemos la habilidad de extraer ese secreto en 30 segundos“

Vía Ars Technica

¿Qué os parece esto? Al igual que los sistemas de cifrados avanzan, las maneras para descifrarlo también lo hacen.