• Tweet

Usar los hotspots públicos WI-FI tiene mucho más riesgo de comprometer conexiones. Los expertos en seguridad revelan las herramientas que obtienen datos de la conexión que se realiza al aire libre.

Una demostración hecha durante la conferencia Black Hat, revela que las herramientas hacen más fácil el robo de los detalles de las cuentas, dijo Roberto Graham de Errata Security.

Los archivos de identificación denominados cookies son robados en el ataque cuyo resultado deja a hackers presentarse como la víctima.

Esto da a los atacantes el acceso a los mensajes del correo o la página que alguien mantiene en sitios tales como MySpace o Facebook.

Reunión de Hackers

Antes de la demostración, que implicó el secuestro en vivo de una cuenta de correo de Google (GMail), se pensaba que muchos sitio eran seguros porque cifraron los datos intercambiados hacia ambas partes cuando existía una conexión de las personas.

Sin embargo, Graham realizó su ataque contra las cookies sin encriptar, considerados archivos de texto minúsculos, los cuales son de uso de muchos sitios para identificar a la gente que los visita regularmente.

Las herramientas creadas por Graham, llamado "Hamster" "Ferret", pueden ver el tráfico que fluye dentro y fuera de los hotspots públicos wi-fi y dejan a los atacantes obtener así las cookies conforme se pasan de nuevo a la gente que entra a su webmail o cuenta social de la red.

Usando la cookie, un atacante podría presentarse como víctima y casi gozar del mismo nivel de acceso a una cuenta como su dueño legítimo.

Existen algunas defensas contra el ataque, dijo Graham.

Los atacantes no podrían cambiar una contraseña y asumir el control de la cuenta, ya que la mayoría de los sitios piden que la gente vuelva a ingresar su vieja contraseña antes de dejarla realizar cualquier cambio.

También, dijo Graham, algunos servicios del webmail, tales como GMail, dejan a los usuarios cifrar todos los datos enviados y recibidos mientras que se ocupan de su correo.

Graham reveló sus resultados durante una presentación en la conferencia Black Hat de cuatro días llevada a cabo en Las Vegas. La conferencia reúne a profesionales de la seguridad de todo el mundo que intercambian la información sobre las últimos logros y las vulnerabilidades futuras.

Dijo que Errata Security haría las herramientas de ataque públicas y estarían disponibles en el sitio Web de la compañía para que cualquier persona pueda descargarlas directamente.

También en la conferencia David Thiel, de los socios del iSec Partners, importante firma de seguridad, reveló que los juguetes multimedia de la PC tienen vulnerabilidades significativas que se podrían explotar por los criminales con alta tecnología.

Las escapatorias se podrían utilizar para adjuntar programas maliciosos a la música o el vídeo descargados para apoderarse del control de una PC.

Sugirió que las páginas populares en redes sociales podrían ser modificadas por los hackers malintencionados para agregar los archivos maliciosos en los archivos multimedia.

"El potencial para el ataque es bastante severo," dijo él.

Thiel dijo que los fabricantes de los archivos multimedia habían sido informados de los problemas y que trabajaban en los arreglos para ellos.