Los investigadores hacen un llamado a las firmas de antivirus y dispositivos de seguridad para hacer a un lado las prácticas inseguras de inspección SSL.

Un sorprendente número de antivirus y productos de seguridad están quebrantando las conexiones HTTPS, exponiendo a los usuarios de los navegadores a ataques de descifrado, según un estudio realizado por investigadores de Google, Mozilla, Cloudflare y varias universidades estadounidenses.

Gracias a un esfuerzo multifacético para habilitar HTTPS en todas partes, a partir de enero la mitad del tráfico web del mundo se cifra utilizando el protocolo TCP/IP seguro HTTPS.

Sin embargo, mientras crece el uso de HTTPS o HTTP sobre TLS, también aumenta el número de dispositivos de seguridad y productos antivirus que interceptan las conexiones TLS para inspeccionar el tráfico de red.

El estudio encontró que la intercepción de HTTPS tiene una magnitud mayor de lo que se pensaba anteriormente y que los vendedores están manejando mal la inspección después de un llamado "TLS handshake", donde el antivirus o los dispositivos de red "terminan y descifran la sesión TLS iniciada por el cliente, analizan el texto plano HTTP interno y, a continuación, inician una nueva conexión TLS al sitio web de destino".

Observando ocho mil millones de TLS handshakes generados por Chrome, Safari, Internet Explorer y Firefox, los investigadores descubrieron que la intercepción ocurría en el cuatro por ciento de las conexiones a los servidores de actualizaciones de Firefox de Mozilla, 6.2% a sitios de comercio electrónico y en 10.9% de las conexiones de CloudFlare de Estados Unidos.

De las que fueron interceptadas, el estudio muestra que 97% de las conexiones de Firefox, 32% de comercio electrónico y 54% de Cloudflare se hicieron menos seguras, mientras que un gran número también utilizó algoritmos criptográficos débiles y anunció soporte a cifrados vulnerables, haciendo más fácil a un atacante en la red descifrar el tráfico.

"Nuestros resultados indican que la intercepción HTTPS se ha generalizado sorprendentemente, y que los productos de intercepción tienen un impacto dramáticamente negativo en la seguridad de la conexión. Creemos que sacar a la luz estas cosas motivará a mejorar los productos existentes, incentivar la seguridad de la intercepción HTTPS y permitirá discutir sobre soluciones a largo plazo", escribieron.

Adicionalmente encontraron que la configuración predeterminada en 11 de los 12 dispositivos de red probados presenta fallas graves, como la validación incorrecta de certificados, mientras que 24 de los 26 productos antivirus presentan una o más fallas de seguridad.