Mantente Alerta: OpenID y OAuth Son Volunerables

Pasaron sólo unas pocas semanas desde el perturbante descubrimiento de Heartbleed, la vulnerabilidad de OpenSSL. Pero los problemas para los ciudadanos ordinarios como tú o yo no se terminaron allí.

Pasaron sólo unas pocas semanas desde el perturbante descubrimiento de Heartbleed, la vulnerabilidad de OpenSSL. Pero los problemas para los ciudadanos ordinarios como tú o yo no se terminaron allí. En los últimos días, se dio a conocer el hallazgo de otra peligrosa falla que, según explicaron los expertos, no es tan sencilla de solucionar. Se trata de un bug de “redirección encubierta”, cuya descripción fue publicada por Wang Jing, un estudiante de doctorado en matemáticas en la Universidad Tecnológica de Nanyang, en Singapur. Según detalló Jing, La falla se encuentra en los populares protocolos OpenID y Oauth. El primero de estos protocolos se utiliza cuando inicias sesión en algún sitio web a través de tu cuenta de Google, Facebook, LinkedIn, etc. El segundo, en cambio, entra en acción cuando autorizas a los sitios, aplicaciones o servicios web a que accedan a tus perfiles de Facebook, G+, etc. Ambos protocolos suelen utilizarse de forma conjunta y, raíz de este bug, podrían llevar tu información confidencial hacia las manos equivocadas.

 

La amenaza

Si quieres ahondar en los detalles técnicos de esta falla, nuestros amigos de Threatpost pueden brindarte una visión mucho más profunda desde el punto de vista técnico. Nosotros en este artículo nos concentraremos en describir los posibles escenarios de ataque y los riesgos que podrían venir aparejados con este bug.

Para encontrarse en una situación de peligro, el usuario tendría que ingresar en un sitio web phishing. Estos sitios se hacen pasar por servicios web populares que, generalmente, cuentan con los típicos botones de “ingresa con tu cuenta de Facebook”. Si el usuario hiciera click en alguno de estos botones, una ventana emergente aparecería y le solicitaría que ingrese sus datos de acceso. Finalmente, debido al bug de redirección, la autorización para acceder al perfil del usuario es redirigida hacia al sitio phishing.

Primero, el usuario tendría que visitar un sitio web phishing e iniciar sesión con su cuenta de Facebook o algún otro provedor de OpenID.

De esta manera, los cibercriminales reciben la autorización (OAuth token) para acceder a los perfiles de redes sociales de las víctimas con cualquiera de los permisos que las aplicaciones originales tenían. En el mejor de los casos, se trata sólo de información personal básica, pero, en algunas situaciones, esto podría permitirle a los delincuentes revisar los contactos de la víctima, enviar mensajes, etc.

¿Está solucionado? En realidad, no.

Lo más probable es que esta amenaza no desaparezca en el corto plazo, dado que el fix que solucionaría este bug tendría que ser implementado tanto por el proveedor (Facebook, Google, LinkedIn, etc) como por el cliente (las aplicaciones o los servicios). Además, el protocolo OAuth todavía se encuentra en fase beta y varios proveedores utilizan diferentes variaciones de este protocolo, lo cual altera las formas y las posibilidades de contrarrestar los posibles ataques. En este punto, LinkedIn se encuentra mejor posicionado en la puesta en marcha de una solución, ya que le exige a cada desarrollador de aplicaciones de terceros una “lista de admitidos” de todos los redireccionamientos que se realizan. Por lo tanto, todos los servicios y apps que utilizan la autorización de LinkedIn deben acatar esta medida de seguridad o no funcionarían.

El panorama es diferente para Facebook, dado que cuenta con una gran cantidad de aplicaciones y dispone de versiones mucho más viejas de OAuth. En este sentido, representantes de Facebook aseguraron que “la exigencia de listas de admitidos no es algo que pueda concretarse en el corto plazo”.

Existen mucho otros proveedores que permanecen vulnerables (mira la imagen), por lo tanto, si inicias sesión en algún sitio por medio de alguna de estas cuentas, es necesario que tomes las medidas de precaución adecuadas.

fbg+

Tu plan de acción

Para los usuarios más precavidos: una solución muy útil sería dejar de utilizar los servicios de OpenID y los botones de “ingresa con tu cuenta de…” por algunos meses. De esta forma también lograrías incrementar tus niveles de privacidad en Internet, dado que iniciar sesión con tus cuentas de redes sociales permite que tus datos sean mucho más fáciles de rastrear. Para evitarte el inconveniente de tener que recordar decenas de nombres de usuario y contraseñas, lo mejor es que comiences a utilizar un administrador de claves eficaz.

Si planeas seguir utilizando las autorizaciones OpenID, por el momento, no existe un riesgo inmediato, pero debes mantenerte muy alerta a las estafas phishing. Éstas usualmente comienzan con alguna carta perturbadora en tu bandeja de entrada o con algún enlace llamativo de Facebook  o de alguna otra red social. Si inicias sesión en algún sitio a través de tu cuenta de Facebook o Google, asegúrate de que abres la página web oficial de este servicio tipeando manualmente la dirección y no a través de un enlace enviado a tu correo electrónico. Verifica siempre las direcciones para evitar ingresas a sitios maliciosos. Asimismo, utiliza una solución de navegación web segura como Kaspersky Internet Security Multidispositivos, que te ayudará a mantenerte alejado de los sitios peligrosos.

Se trata de un simple ejercicio de precaución, que cada usuario de Internet debería poner en práctica diariamente. Debes tener en cuenta que las amenazas phishing son muy comunes y efectivas, y pueden llevarte a perder tu información personal o financiera. El bug de redirección encubierta presente en OpenID y OAuth es sólo una razón más para implementar este ejercicio. No se admiten excusas.

 

Traducido por: Guillermo Vidal Quinteiro

Consejos