Afortunadamente, cada vez son más los establecimientos (cafeterías, restaurantes, centros comerciales, etc), aeropuertos y hoteles que ofrecen a sus clientes conexión Wi-Fi de manera gratuita (ya sea porque ofrezcan una conexión abierta o a través de un portal cautivo), una facilidad que nos viene muy bien para trabajar con nuestro ordenador o conectar nuestro smartphone o nuestra tableta sin tener que consumir el bono de datos que tengamos contratado.
Tanto en lugares públicos como en eventos a los que asistamos, disponer de una conexión Wi-Fi nos puede facilitar la conexión a nuestra cuenta de correo, a nuestro perfil en Facebook o Twitter o, incluso, conectarnos a nuestro blog para escribir un artículo; sin embargo, hacer ya un par de años, una extensión para Firefox llamada Firesheep nos hizo ver que a la hora de conectarnos a una red Wi-Fi compartida con otros usuarios debemos tomar una serie de precauciones.
¿Y qué hacía Firesheep? Para el que no recuerde este caso, Firesheep era una extensión para Firefox que capturaba el tráfico que se cursaba a través de una red Wi-Fi y era capaz “robar” las cookies de sesión de servicios tan populares como Amazon, Basecamp, Twitter o Facebook, permitiendo al atacante robar nuestra identidad y acceder a nuestra cuenta.
Con la idea de evitar este tipo de situaciones y no ponérselo nada fácil a aquellos que pretenden capturar contraseñas (con no muy buenas intenciones), no está demás tener en cuenta algunos aspectos básicos de seguridad que evitarán que nos llevemos algún disgusto, aspectos que giran alrededor de un denominador común: el uso de conexiones cifradas, es decir, el SSL.
Configurar el acceso vía SSL a nuestros perfiles sociales
Aunque deberían ofrecer por defecto conexiones cifradas (al igual que lo hace, por ejemplo, la banca electrónica y muchas tiendas online), servicios como Twitter, Facebook o LinkedIn no usan conexiones cifradas salvo que así se lo indiquemos en las opciones de configuración.
En un uso normal, a través de nuestro navegador, no vamos notar diferencia (en cuanto a tiempo de carga) entre una conexión cifrada o sin cifrar, por tanto, para estar siempre preparados para toda ocasión, es importante acceder a las opciones de configuración de este tipo de servicios y marcar el uso de SSL siempre (y así evitaremos los efectos de Firesheep y similares).
Cifrar la conexión a nuestro buzón de correo
Mi compañera Bárbara dedicó hoy unos minutos a hablarnos del correo electrónico y nos brindó algunos consejos para mantener nuestras cuentas seguras y, además de sus consejos, debemos añadir un detalle adicional si pensamos consultar nuestro correo electrónico a través de una red de uso público: usar también conexiones cifradas.
La mayoría de servicios de correo electrónico que ofrecen un webmail a los usuarios (por ejemplo Gmail), por defecto, suelen estar bajo conexiones SSL (se accede a través de https), sin embargo, cuando configuramos la cuenta en Outlook o Thunderbird, no siempre se configura el buzón de manera segura y se recurre al protocolo POP o IMAP. ¿Y qué debemos hacer? Si vamos a usar nuestro correo en una red pública, si nuestro servidor de correo lo permite deberíamos configurar la cuenta usando conexiones seguras (IMAP-SSL o POP-SSL) además de enviar las contraseñas cifradas.
Recurrir a extensiones que fuercen el uso de conexiones cifradas
Si pensamos que configurar todos los servicios que usamos para que, por defecto, usen conexiones cifradas puede superarnos o que, incluso, puede que nos dejemos servicios fuera y sin configurar, una buena forma de mejorar la seguridad rápidamente puede ser recurrir a alguna extensión que nos ayude a mantener conexiones seguras de manera global.
Extensiones como KB SSL Enforcer, HTTPS Everywhere o Force-TLS se encargarán de servir los sitios web más populares (Twitter, Facebook, Amazon, Google, etc) en sus versiones bajo SSL (https).
Usar una VPN
Una manera de “aislar” nuestro tráfico y establecer un canal seguro de comunicación es mediante el uso de una VPN, con la que podremos establecer una conexión segura con nuestra empresa o contra un servicio determinado.
Este tipo de conexiones son cifradas (mediante IPsec) y cada paquete de datos que intercambiamos viaja cifrado hasta llegar a cada extremo del canal entre el emisor y el receptor, por tanto, un tercero no va a tener nada fácil interceptar nuestros datos, nuestra contraseña o robar las cookies de sesión de nuestra cuenta de Twitter.
Mejorar nuestros propios sistemas
Si administramos algún sistema o página web a la que, por ejemplo, accedamos de manera continuada desde todo tipo de redes quizás pueda ser interesante plantearnos el uso de conexiones SSL para evitar que alguien que esté a la escucha intercepte nuestras credenciales de acceso.
Muchos gestores de contenidos tienen disponibles módulos que fuerzan el uso de conexiones SSL al acceder a la zona de administración o determinadas zonas privadas que se consideran sensibles. En el caso que usemos WordPress extensiones como WordPress HTTPS, por ejemplo, nos pueden ayudar a establecer conexiones seguras con la zona de administración de nuestro blog y, de paso, también podremos proteger ciertas páginas especiales.