#42 Una cosa son agujeros de seguridad que un atacante puede utilizar y otra ataques desde una wifi abierta como el man in the middle o sniffar el trafico de red.
En tu casa es mas dificil, pero tambien es posible que te hackeen.
Lo inseguro es en redes publicas, aunque sea una web protegida con contraseña no sabes quien mas hay en ella.
Una opcion es usar VPN en el movil como comentaba un usuario.
Si te digo la verdad pocas veces uso la wifi fuera, salvo cuando estoy en el extrajero y bueno, te expones a que vean tus datos, cierto.
Lo de la seguridad, los "candaditos", el SSL... Eso es una bobada. Realmente la CIA tienen agujeros de seguridad que utilizan, backdoors (puertas traseras) en todas las encriptaciones, pueden acceder a tu informacion con un golpe en el teclado si quieren. A todo sobre ti. Otra cosa es que para el usuario medio sea difil o imposible.
#49 Bueno, se los da google, facebook, el movil que tienes aunque este apagado (suena a pelicula pero es asi, lo han dicho gente que trabajaba para empresas de espionaje o el mismo snowden).
Es mas hay empresas que diseñan software que venden a gobiernos, preparado para interceptar comunicaciones de moviles, email, whatsApp... Lo que quieras.
el SSL es "seguro" a nivel general pero no esperes que por eso no vayan a saber los gobiernos que haces.
#27 Entiendo lo del MiM y, efectivamente, no me había planteado la posibilidad de que alguien previamente hiciera la página del BBVA de pega. Sin embargo, ¿una vez que está el candado no se verifica también eso, que la página sea la correcta?
#36 No se trata de un phising (pagina del bbva de pega como tu dices). Es que simplemente no te enteras de que hay una persona "en medio" "leyendo" todo. Lee bien el wiki.
Si quieres hasta tienes videos en youtube:
backtrack es una distribucion con las aplicaciones de hacking instaladas, de todo tipo.
Y ya no hablemos de la informacion que viaja no cifrada... esa se ve a simple vista con un sniffer (programa para auditar el trafico en una red).
#38 Gracias por la info, lo miraré. Agrandezco también que esta vez no me hayas puesto negativo por el simple hecho de estar en desacuerdo conmigo.
Volviendo al asunto, me da la sensación de que hablas de agujeros de seguridad que aplican tanto si estoy en casa como si estoy con una wifi abierta.
También quiero que conste que no hablo de aplicaciones que envíen en plano. Si alguien usa whatsapp para hablar con el camello allá él, pero de nuevo es un problema igualmente si estás en casa.
#42 Una cosa son agujeros de seguridad que un atacante puede utilizar y otra ataques desde una wifi abierta como el man in the middle o sniffar el trafico de red.
En tu casa es mas dificil, pero tambien es posible que te hackeen.
Lo inseguro es en redes publicas, aunque sea una web protegida con contraseña no sabes quien mas hay en ella.
Una opcion es usar VPN en el movil como comentaba un usuario.
Si te digo la verdad pocas veces uso la wifi fuera, salvo cuando estoy en el extrajero y bueno, te expones a que vean tus datos, cierto.
Lo de la seguridad, los "candaditos", el SSL... Eso es una bobada. Realmente la CIA tienen agujeros de seguridad que utilizan, backdoors (puertas traseras) en todas las encriptaciones, pueden acceder a tu informacion con un golpe en el teclado si quieren. A todo sobre ti. Otra cosa es que para el usuario medio sea difil o imposible.
#49 Bueno, se los da google, facebook, el movil que tienes aunque este apagado (suena a pelicula pero es asi, lo han dicho gente que trabajaba para empresas de espionaje o el mismo snowden).
Es mas hay empresas que diseñan software que venden a gobiernos, preparado para interceptar comunicaciones de moviles, email, whatsApp... Lo que quieras.
el SSL es "seguro" a nivel general pero no esperes que por eso no vayan a saber los gobiernos que haces.
#38 #36 Aunque haya un Man in the Middle la información en principio está a salvo si vas por HTTPS. HTTPS funciona con claves públicas y privadas. Esto quiere decir que A encripta sus mensajes con la clave pública de B (de forma que ese mensaje sólo se puede leer con la clave privada de B, que sólo posee B) y B responde encriptando la respuesta con la clave pública de A. En caso de que haya alguien en medio "leyendo" el tráfico lo único que va a leer son mensaje encriptados, y la única forma que tendría para leer de verdad la información es haciendo un phising (suplantación de identidad), en cuyo caso te saltaría una alerta ya que el certificado presentado por el man in the middle no sería auténtico.
Todo esto se cumple mientras no tengas algún malware en tu dispositivo que valide certificados falsos o cosas así. Vamos, que si tienes tu dispositivo limpio navegar por HTTPS es seguro. Otra cosa son las apps de los móviles, que a saber qué protocolo usa cada una para comunicarse con el servidor. Vamos, que los riesgos que hay de ver tu cuenta bancaria en una wifi abierta por HTTPS son prácticamente los mismos que desde el wifi de tu casa.
Aquí te lo explican en inglés: http://security.stackexchange.com/questions/8145/does-https-prevent-man-in-the-middle-attacks-by-proxy-server
#62 Creo que no te has enterado de nada. El man in the middle no es esnifar el trafico y ver que saco, es "suplantar".
Si miras un video en youtube mismamente veras como un usuario con un backtrack hace una prueba y es capaz de ver el password que de acceso a una web que el mismo intenta entrar.
Seria algo asi como:
-Se trata de que tu usuario A intentas acceder a la web xxx.com
-Yo hago de man in the middle y suplanto el metodo de login de la web, antes de que llegues al servidor, tomo tus datos y los dejo pasar al servidor.
-El servidor responde y yo cojo esa respuesta y la leo y te la paso a ti de vuelta usuario A.
Por cierto el enlace que me has pegado son preguntas y respuestas entre usuarios, eso no es una fuente asi muy fiable.
Lee:
https://es.wikipedia.org/wiki/Ataque_Man-in-the-middle#Ejemplo_de_un_ataque
#64 Lamento decirte que creo que eres tú el que no sabe cómo funciona HTTPS... En caso de que el man in the middle sea activo, es decir, que haga lo que tú has dicho en tu ejemplo, a ti en tu navegador te saldrá una alerta tocha diciendo que la página de login que te han servido no es xxx.com
Es decir, que eso que tú dices no se puede hacer en HTTPS. A menos que seas el típico usuario de "sí, aceptar, siguiente, siguiente, ok, nomeleonada, instalar". Pero en ese caso la culpa es del usuario que es un garrulo y que cuando le sale una advertencia de "ojo, que te están hackeando" le da a "ok" y hace caso omiso de la advertencia. Si tú te metes a xxx.com y te sale el candadito verde diciendo que ha pasado la validación entonces estás a salvo.
Y en caso de que el man in the middle sea pasivo (un man in the middle sí que puede limitarse a snifar el tráfico) no va a leer nada, ya que como he dicho antes va todo cifrado.
En tu enlace el ejemplo no es válido para HTTPS, dado que el certificado que presenta Mallory no pasaría la validación. Y el enlace que he pasado yo es el primero que me ha salido en google, puedes mirar otros enlaces si quieres.
#65 Perdona pero si eso fuese asi no hablariamos de ataques man in the middle. No tengo ganas pero estoy seguro de que tu mismo en casa puedes probar a hacerlo contigo mismo y el backtrack.
Ni el usuario ni el servidor se enterarian de que la clave es incorrecta y que no esta firmada por la web xxx.com
#66 Esos ataques son para HTTP. No voy a hacerlo en mi casa porque sé cómo funciona HTTPS y un ataque man in the middle, así que sé cuál va a ser el resultado (de hecho, trabajo precisamente en ese campo: PKI - Public Key Infrastructure). Pero si no te fías de mi (que lo puedo entender y no me parece mal) aquí tienes un enlace a wikipedia que te lo dice claramente: https://es.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure#Diferencias_con_HTTP
"HTTP es inseguro y está sujeto a ataques man-in-the-middle y eavesdropping que pueden permitir al atacante obtener acceso a cuentas de un sitio web e información confidencial. HTTPS está diseñado para resistir esos ataques y ser más seguro."
#38 En cualquier caso de MitM siempre tendrás aviso del navegador o la aplicación de que el certificado no es válido. Cierto es que se pueden generar certificados falsos firmados por CA's de confianza, pero eso esta muy lejos del alcance de la inmensa mayoría de aprendices de hackers que puedas cruzarte en esa wifi abierta, y queda reservado para ataques de verdad en las que se ha comprometido alguna CA... y esas balas no se usan para robarte a ti la cuenta del facebook...
Otra cosa es que el navegador o aplicación te de la alerta de certificado falso y el usuario medio le de a aceptar sin más preocupación... pero ese mismo ataque se puede hacer igualmente en cualquier wifi con password compartida (WPA). Que tenga password no te protege de nada, solo de que no te puedan snifar "por el aire" sin necesidad de MitM para cosas sin cifrar.... y hoy en día todo servicio online decente va por SSL...
Menos paranoia... (y si, se muy bien de que va esto)
#78 "y hoy en día todo servicio online decente va por SSL"
Pago de impuestos:
http://www.zamoratributos.es/oficinavirtual/tramitacion/gestiontributaria/domicOpA.aspx
Compañía eléctrica:
http://clientes.fenieenergia.es/
Compañía telefónica:
http://yuuju.es/login
Esto son casos que me parecen graves porque aparte del nº de cuenta bancaria contienen información especialmente privada como los teléfonos a los que llamas o tu consumo eléctrico, que en algunos casos puede aparecer el consumo hora a hora.
¿Hola? ¿SSL? ¿candadito? ¿no es un poco sensacionalista (e incorrecto) el artículo? Lo digo porque cuando estás con el banco la conexión va encriptada de punto a punto. Un cracker no puede ver, ni en una wifi abierta, lo que le dices al banco. ¿Y el correo? ¿no va por TSL/SSL o no sé qué leches? También es seguro, ¿no?
#22 #29 Bueno no es tan facil... Una wifi abierta hasta que te autenticas pueden snifar el trafico, hay ciertas aplicaciones que no usan encriptacion, que se puede romper o pueden hacer que tu movil "se crea" (algo asi como man in the middle) que se esta autenticando con un servidor y saque todo.
https://es.wikipedia.org/wiki/Ataque_Man-in-the-middle
Hay ciertas situaciones donde es bastante simple, por ejemplo, un atacante dentro del alcance de un punto de acceso wi-fi sin cifrar, donde éste se puede insertar como man-in-the-middle
Creo que aparte del ataque que te comento se te escapa que esos protocolos que te han dicho que son seguros no lo son tanto teniendo en cuenta la de agujeros de seguridad que hay en navegadores, sistema operativo del movil....
#36 No se trata de un phising (pagina del bbva de pega como tu dices). Es que simplemente no te enteras de que hay una persona "en medio" "leyendo" todo. Lee bien el wiki.
Si quieres hasta tienes videos en youtube:
backtrack es una distribucion con las aplicaciones de hacking instaladas, de todo tipo.
Y ya no hablemos de la informacion que viaja no cifrada... esa se ve a simple vista con un sniffer (programa para auditar el trafico en una red).
#38 Gracias por la info, lo miraré. Agrandezco también que esta vez no me hayas puesto negativo por el simple hecho de estar en desacuerdo conmigo.
Volviendo al asunto, me da la sensación de que hablas de agujeros de seguridad que aplican tanto si estoy en casa como si estoy con una wifi abierta.
También quiero que conste que no hablo de aplicaciones que envíen en plano. Si alguien usa whatsapp para hablar con el camello allá él, pero de nuevo es un problema igualmente si estás en casa.
#42 Una cosa son agujeros de seguridad que un atacante puede utilizar y otra ataques desde una wifi abierta como el man in the middle o sniffar el trafico de red.
En tu casa es mas dificil, pero tambien es posible que te hackeen.
Lo inseguro es en redes publicas, aunque sea una web protegida con contraseña no sabes quien mas hay en ella.
Una opcion es usar VPN en el movil como comentaba un usuario.
Si te digo la verdad pocas veces uso la wifi fuera, salvo cuando estoy en el extrajero y bueno, te expones a que vean tus datos, cierto.
Lo de la seguridad, los "candaditos", el SSL... Eso es una bobada. Realmente la CIA tienen agujeros de seguridad que utilizan, backdoors (puertas traseras) en todas las encriptaciones, pueden acceder a tu informacion con un golpe en el teclado si quieren. A todo sobre ti. Otra cosa es que para el usuario medio sea difil o imposible.
#38 #36 Aunque haya un Man in the Middle la información en principio está a salvo si vas por HTTPS. HTTPS funciona con claves públicas y privadas. Esto quiere decir que A encripta sus mensajes con la clave pública de B (de forma que ese mensaje sólo se puede leer con la clave privada de B, que sólo posee B) y B responde encriptando la respuesta con la clave pública de A. En caso de que haya alguien en medio "leyendo" el tráfico lo único que va a leer son mensaje encriptados, y la única forma que tendría para leer de verdad la información es haciendo un phising (suplantación de identidad), en cuyo caso te saltaría una alerta ya que el certificado presentado por el man in the middle no sería auténtico.
Todo esto se cumple mientras no tengas algún malware en tu dispositivo que valide certificados falsos o cosas así. Vamos, que si tienes tu dispositivo limpio navegar por HTTPS es seguro. Otra cosa son las apps de los móviles, que a saber qué protocolo usa cada una para comunicarse con el servidor. Vamos, que los riesgos que hay de ver tu cuenta bancaria en una wifi abierta por HTTPS son prácticamente los mismos que desde el wifi de tu casa.
Aquí te lo explican en inglés: http://security.stackexchange.com/questions/8145/does-https-prevent-man-in-the-middle-attacks-by-proxy-server
#62 Creo que no te has enterado de nada. El man in the middle no es esnifar el trafico y ver que saco, es "suplantar".
Si miras un video en youtube mismamente veras como un usuario con un backtrack hace una prueba y es capaz de ver el password que de acceso a una web que el mismo intenta entrar.
Seria algo asi como:
-Se trata de que tu usuario A intentas acceder a la web xxx.com
-Yo hago de man in the middle y suplanto el metodo de login de la web, antes de que llegues al servidor, tomo tus datos y los dejo pasar al servidor.
-El servidor responde y yo cojo esa respuesta y la leo y te la paso a ti de vuelta usuario A.
Por cierto el enlace que me has pegado son preguntas y respuestas entre usuarios, eso no es una fuente asi muy fiable.
Lee:
https://es.wikipedia.org/wiki/Ataque_Man-in-the-middle#Ejemplo_de_un_ataque
#64 Lamento decirte que creo que eres tú el que no sabe cómo funciona HTTPS... En caso de que el man in the middle sea activo, es decir, que haga lo que tú has dicho en tu ejemplo, a ti en tu navegador te saldrá una alerta tocha diciendo que la página de login que te han servido no es xxx.com
Es decir, que eso que tú dices no se puede hacer en HTTPS. A menos que seas el típico usuario de "sí, aceptar, siguiente, siguiente, ok, nomeleonada, instalar". Pero en ese caso la culpa es del usuario que es un garrulo y que cuando le sale una advertencia de "ojo, que te están hackeando" le da a "ok" y hace caso omiso de la advertencia. Si tú te metes a xxx.com y te sale el candadito verde diciendo que ha pasado la validación entonces estás a salvo.
Y en caso de que el man in the middle sea pasivo (un man in the middle sí que puede limitarse a snifar el tráfico) no va a leer nada, ya que como he dicho antes va todo cifrado.
En tu enlace el ejemplo no es válido para HTTPS, dado que el certificado que presenta Mallory no pasaría la validación. Y el enlace que he pasado yo es el primero que me ha salido en google, puedes mirar otros enlaces si quieres.
#65 Perdona pero si eso fuese asi no hablariamos de ataques man in the middle. No tengo ganas pero estoy seguro de que tu mismo en casa puedes probar a hacerlo contigo mismo y el backtrack.
Ni el usuario ni el servidor se enterarian de que la clave es incorrecta y que no esta firmada por la web xxx.com
#38 En cualquier caso de MitM siempre tendrás aviso del navegador o la aplicación de que el certificado no es válido. Cierto es que se pueden generar certificados falsos firmados por CA's de confianza, pero eso esta muy lejos del alcance de la inmensa mayoría de aprendices de hackers que puedas cruzarte en esa wifi abierta, y queda reservado para ataques de verdad en las que se ha comprometido alguna CA... y esas balas no se usan para robarte a ti la cuenta del facebook...
Otra cosa es que el navegador o aplicación te de la alerta de certificado falso y el usuario medio le de a aceptar sin más preocupación... pero ese mismo ataque se puede hacer igualmente en cualquier wifi con password compartida (WPA). Que tenga password no te protege de nada, solo de que no te puedan snifar "por el aire" sin necesidad de MitM para cosas sin cifrar.... y hoy en día todo servicio online decente va por SSL...
Menos paranoia... (y si, se muy bien de que va esto)
#78 "y hoy en día todo servicio online decente va por SSL"
Pago de impuestos:
http://www.zamoratributos.es/oficinavirtual/tramitacion/gestiontributaria/domicOpA.aspx
Compañía eléctrica:
http://clientes.fenieenergia.es/
Compañía telefónica:
http://yuuju.es/login
Esto son casos que me parecen graves porque aparte del nº de cuenta bancaria contienen información especialmente privada como los teléfonos a los que llamas o tu consumo eléctrico, que en algunos casos puede aparecer el consumo hora a hora.
#27 Creo que aquí si tocas un punto interesante e inseguro, más allá de los sensacionalismos del artículo.
Recuerdo haber visto el juego del man-in-the-middle p.ej con ataques tipo "Evil Twin" para robarle wifis a los vecinos; imitas a su punto de acceso, le desautenticas del verdadero, y cuando se conecta al tuyo le muestras una página indicándole lo mal que va la conexión y que meta la clave de su router para entrar a Internet. Y supongo que si a la página le metes un logo de la compañía por la que va tu vecino, mejor.
Claro, tiene sentido hacer lo mismo pero interceptando ciertas páginas, como pudiera ser las de bancos, aunque me parece más complicado sobre todo para lo que plantea el artículo de que vayas a cazar gente que está en el extranjero (¿y cómo sabes cuál es su banco y el idioma de la víctima?). Supongo que funcionaría mejor simular el login a redes sociales y luego fallar aposta mientras te has quedado la clave, aunque por otro lado no tengo nada claro que la gente acceda a su FB o Twitter en el smartphone a través del navegador, sino más bien a través de la App específica. Que imagino que se la podrá engañar también, pero a primera vista tiene pinta de necesitar un esfuerzo más serio.
#55 Lo que no entendéis es cómo funciona el protocolo de autentificacion de https, se usan dos pares de llaves, el servidor cifra su conexión con la llave privada y esa comunicación sólo puede leerse con la llave pública, el ordenador "víctima" cifra el mensaje con la llave pública y lo envía al servidor, a partir de ahí NADIE puede descifrar ese mensaje sin la llave privada (que sólo está en el servidor del banco). Por lo tanto, por man in the middle NO SE PUEDE esnifar el trafico https, lo cual no quiere decir que si te ponen una página "parecida sospechosamente" a la original te puedan hacer introducir tus credenciales si no te fijas en el candadito que valida la entidad certificadora de turno.
Vamos, que o se hace por phishing o no se hace. El protocolo https "en principio" fue diseñado para resistir esos ataques y es seguro.
#70 Lo que planteaba en ese mensaje es más bien phishing que un "man in the middle" real, interceptando su conexión. Es obvio que no se podría autenticar en destino, igual que lo del "evil twin" no intermedia con nadie real.
#22 Y el cliente de whatsapp, el de twitter, incluso las búsquedas en el google van ahora por SSL.
Yo no tengo ningún cuidado en redes abiertas NI FALTA QUE ME HACE.
Artículo sensacionalista, mal informado y desinformador como pocos.
#22 eso venía yo a decir, el artículo es un tantico sensacionalista cuando se alarma por cosas como "acceder a su banco por una WiFi abierta". No conozco yo banco que no use SSL en su acceso web, ahí lo preocupante me parece más bien troyanos/keyloggers/etc y para eso el problema de la seguridad es más lo que ejecutas en el Windous que a qué WiFi te conectas.
Vería más problemático que p.ej siga uno esa costumbre de usar la misma password para todo y que en uno de los sitios por los que navegaras fuera en plano, dando pie a que te abran el resto. De nuevo, ahí lo primero que lo previene es, no utilices la misma clave para todo, o al menos separa lo importante.
#35 bueno, con un Man in the middle, dns spoof y phishing de la pagina del banco ya lo tienes. Esto sí, necesitas haber estudiado un poco la victima de antemano y no se hace rápido en una red publica mientras te zampas un bigmac...
#22 SSLStrip lleva años por ahí y te garantizo que bajo las condiciones adecuadas, funciona.
El resultado es capturar el 100% del tráfico como si no fuera por SSL (todo legible).
#63 Sslstrip coge el trafico https y lo convierte en http, lo que hace saltar todas las alarmas, y en tráfico mixto https/http como mínimo el navegador mostraría un aviso.
#71 correcto, menos en Iexplorer que no aparece ningún aviso por lo menos en versiones 8 o inferiores las otras no he probado. Tambien te digo que la mayoría de usuarios le dan a confiar igualmente y te envían todas las credenciales por http. Easy
#79 Claro. En principio las versiones actuales de Firefox y Chrome no permiten el tráfico mixto por defecto, aparte de otros avisos, protocolos inseguros desactivados o con warning, CA inseguras desactivadas.
Tener el navegador actualizado es importante, y con la extensión HTTPS Everywhere con reglas para que en los dominios de bancos etc no se permita HTTP mejor que mejor.
El artículo está redactado de tal forma que parece que el chaval tenga la culpa.
#25 No lo creo, quizás lo único que podría ir en esa dirección es la pregunta final, pero creo que por lo menos es relevante. Antes de eso, se comenta lo que dice la policía pero es que es lo obvio, que se pongan en contacto con ellos primero. La policía obviamente, y menos ante un caso así, te va a recomendar a ir a pelearte por recuperarlo ni enfrentarte a unos ladrones.
#15 --paja-- ni idea de qué piensan los gatos --paja--
#74 Sólo nos falta comer y cagar bits.
No tiene desperdicio el correo del "Jimmy Dos Veces" este.
Patético el mensaje de vender a toda costa o viene el coco. El coco.
#57 Gracias. Me estaba dando a mí en la nariz que esto era el periodista de turno haciéndose el guay. "Mira, mamá, hoy he usado la palabra crowdfunding en mi noticia".
Comprar, tirar, comprar.
#14 De hecho, cuando algún periodista dice "alarma en el PP por XYZ" siempre me pregunto si se lo creerá el propio periodista.
¿Alarma?
#9 Eso sería una buena lección para el niño de la última foto. Lo que está a punto de hacer... ¿qué pasa? ¿que es de buen rollo?
#61 Porque la religión consiste en eso. En creer cosas sin evidencia. Ciegos, efectivamente.
(Sé que la pregunta era retórica, disculpa).
#14 ...y da tranquilidad. Menos mal que no es Richard Parker. El tío, que "los tiene cuadrados", hay que admitirlo, retira la mano como por reflejo en el segundo 35. A partir de 2:04, el ronroneo parece el de una motocicleta.
Estoy bromeando, claro. Yo tampoco los quiero en cautiverio incluso si fueran una amenaza. Sin ánimo de menospreciar la labor de los cuidadores, a mí los zoos me deprimen.
Uno se pone ese preservativo y entonces éste se dilata (así funcionan esos cacharros). ¿No queda automáticamente invalidada la medición?
Me recuerda al típico fantasma que va por ahí diciendo que es que no le cabe en el condón.
#53 Hay fantasmas, si, pero tb es cierto que ni todos los condones son iguales ni todas las pollas miden lo mismo. Algunos pueden conseguir que te sientas como una morcillita y no es para nada agradable
Todo es cuestión de buscar "el correcto"
#55 Cierto, sea "carne o pescado"... Si, siempre mejor limpito 
Sobre los sabores... Para gustos los colores
#38 Gracias por la info, lo miraré. Agrandezco también que esta vez no me hayas puesto negativo por el simple hecho de estar en desacuerdo conmigo.
Volviendo al asunto, me da la sensación de que hablas de agujeros de seguridad que aplican tanto si estoy en casa como si estoy con una wifi abierta.
También quiero que conste que no hablo de aplicaciones que envíen en plano. Si alguien usa whatsapp para hablar con el camello allá él, pero de nuevo es un problema igualmente si estás en casa.