{"id":3055,"date":"2014-05-05T17:31:34","date_gmt":"2014-05-05T23:31:34","guid":{"rendered":"http:\/\/kasperskydaily.com\/mexico\/?p=3055"},"modified":"2021-03-17T16:16:12","modified_gmt":"2021-03-17T22:16:12","slug":"mantente-alerta-openid-y-oauth-son-volunerables","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/mantente-alerta-openid-y-oauth-son-volunerables\/3055\/","title":{"rendered":"Mantente Alerta: OpenID y OAuth Son Volunerables"},"content":{"rendered":"

Pasaron s\u00f3lo unas pocas semanas desde el perturbante descubrimiento de Heartbleed,<\/a> la vulnerabilidad de OpenSSL. Pero los problemas para los ciudadanos ordinarios como t\u00fa o yo no se terminaron all\u00ed. En los \u00faltimos d\u00edas, se dio a conocer el hallazgo de otra peligrosa falla que, seg\u00fan explicaron los expertos, no es tan sencilla de solucionar. Se trata de un bug de \u201credirecci\u00f3n encubierta\u201d, cuya descripci\u00f3n fue publicada por Wang Jing, un estudiante de doctorado en matem\u00e1ticas en la Universidad Tecnol\u00f3gica de Nanyang, en Singapur. Seg\u00fan detall\u00f3 Jing, La falla se encuentra en los populares protocolos OpenID y Oauth. El primero de estos protocolos se utiliza cuando inicias sesi\u00f3n en alg\u00fan sitio web a trav\u00e9s de tu cuenta de Google, Facebook, LinkedIn, etc. El segundo, en cambio, entra en acci\u00f3n cuando autorizas a los sitios, aplicaciones o servicios web a que accedan a tus perfiles de Facebook, G+, etc. Ambos protocolos suelen utilizarse de forma conjunta y, ra\u00edz de este bug, podr\u00edan llevar tu informaci\u00f3n confidencial hacia las manos equivocadas.<\/p>\n

\u00a0<\/p>\n

La amenaza<\/b><\/p>\n

Si quieres ahondar en los detalles t\u00e9cnicos de esta falla, nuestros amigos de Threatpost<\/a> pueden brindarte una visi\u00f3n mucho m\u00e1s profunda desde el punto de vista t\u00e9cnico. Nosotros en este art\u00edculo nos concentraremos en describir los posibles escenarios de ataque y los riesgos que podr\u00edan venir aparejados con este bug.<\/p>\n

Para encontrarse en una situaci\u00f3n de peligro, el usuario tendr\u00eda que ingresar en un sitio web phishing<\/a>. Estos sitios se hacen pasar por servicios web populares que, generalmente, cuentan con los t\u00edpicos botones de \u201cingresa con tu cuenta de Facebook\u201d. Si el usuario hiciera click en alguno de estos botones, una ventana emergente aparecer\u00eda y le solicitar\u00eda que ingrese sus datos de acceso. Finalmente, debido al bug de redirecci\u00f3n, la autorizaci\u00f3n para acceder al perfil del usuario es redirigida hacia al sitio phishing.<\/p>\n

Primero, el usuario tendr\u00eda que visitar un sitio web phishing e iniciar sesi\u00f3n con su cuenta de Facebook o alg\u00fan otro provedor de OpenID.<\/div>\n

De esta manera, los cibercriminales reciben la autorizaci\u00f3n (OAuth token) para acceder a los perfiles de redes sociales de las v\u00edctimas con cualquiera de los permisos que las aplicaciones originales ten\u00edan. En el mejor de los casos, se trata s\u00f3lo de informaci\u00f3n personal b\u00e1sica, pero, en algunas situaciones, esto podr\u00eda permitirle a los delincuentes revisar los contactos de la v\u00edctima, enviar mensajes, etc.<\/p>\n

\u00bfEst\u00e1 solucionado? En realidad, no.<\/strong><\/p>\n

Lo m\u00e1s probable es que esta amenaza no desaparezca en el corto plazo, dado que el fix que solucionar\u00eda este bug tendr\u00eda que ser implementado tanto por el proveedor (Facebook, Google, LinkedIn, etc) como por el cliente (las aplicaciones o los servicios). Adem\u00e1s, el protocolo OAuth todav\u00eda se encuentra en fase beta y varios proveedores utilizan diferentes variaciones de este protocolo, lo cual altera las formas y las posibilidades de contrarrestar los posibles ataques. En este punto, LinkedIn se encuentra mejor posicionado en la puesta en marcha de una soluci\u00f3n, ya que le exige a cada desarrollador de aplicaciones de terceros una \u201clista de admitidos\u201d de todos los redireccionamientos que se realizan. Por lo tanto, todos los servicios y apps que utilizan la autorizaci\u00f3n de LinkedIn deben acatar esta medida de seguridad o no funcionar\u00edan.<\/p>\n

El panorama es diferente para Facebook, dado que cuenta con una gran cantidad de aplicaciones y dispone de versiones mucho m\u00e1s viejas de OAuth. En este sentido, representantes de Facebook aseguraron que \u201cla exigencia de listas de admitidos no es algo que pueda concretarse en el corto plazo\u201d.<\/p>\n

Existen mucho otros proveedores que permanecen vulnerables (mira la imagen), por lo tanto, si inicias sesi\u00f3n en alg\u00fan sitio por medio de alguna de estas cuentas, es necesario que tomes las medidas de precauci\u00f3n adecuadas.<\/p>\n

\"fbg+\"<\/a><\/p>\n

Tu plan de acci\u00f3n<\/strong><\/p>\n

Para los usuarios m\u00e1s precavidos: una soluci\u00f3n muy \u00fatil ser\u00eda dejar de utilizar los servicios de OpenID y los botones de \u201cingresa con tu cuenta de\u2026\u201d por algunos meses. De esta forma tambi\u00e9n lograr\u00edas incrementar tus niveles de privacidad en Internet, dado que iniciar sesi\u00f3n con tus cuentas de redes sociales permite que tus datos sean mucho m\u00e1s f\u00e1ciles de rastrear. Para evitarte el inconveniente de tener que recordar decenas de nombres de usuario y contrase\u00f1as, lo mejor es que comiences a utilizar un administrador de claves eficaz.<\/a><\/p>\n

Para los usuarios m\u00e1s precavidos: la mejor soluci\u00f3n ser\u00eda dejar de utilizar los botones de \u201cingresa con tu cuenta de Facebook\u201d por algunos meses. #OpenID #Redirecci\u00f3nEncubierta<\/p>Tweet<\/a><\/blockquote>\n

Si planeas seguir utilizando las autorizaciones OpenID, por el momento, no existe un riesgo inmediato, pero debes mantenerte muy alerta a las estafas phishing<\/a>. \u00c9stas usualmente comienzan con alguna carta perturbadora en tu bandeja de entrada o con alg\u00fan enlace llamativo de Facebook\u00a0 o de alguna otra red social. Si inicias sesi\u00f3n en alg\u00fan sitio a trav\u00e9s de tu cuenta de Facebook o Google, aseg\u00farate de que abres la p\u00e1gina web oficial de este servicio tipeando manualmente la direcci\u00f3n y no a trav\u00e9s de un enlace enviado a tu correo electr\u00f3nico. Verifica siempre las direcciones para evitar ingresas a sitios maliciosos. Asimismo, utiliza una soluci\u00f3n de navegaci\u00f3n web segura como Kaspersky Internet Security Multidispositivos<\/a>, que te ayudar\u00e1 a mantenerte alejado de los sitios peligrosos.<\/p>\n

Se trata de un simple ejercicio de precauci\u00f3n, que cada usuario de Internet deber\u00eda poner en pr\u00e1ctica diariamente. Debes tener en cuenta que las amenazas phishing son muy comunes y efectivas, y pueden llevarte a perder tu informaci\u00f3n personal o financiera. El bug de redirecci\u00f3n encubierta presente en OpenID y OAuth es s\u00f3lo una raz\u00f3n m\u00e1s para implementar este ejercicio. No se admiten excusas.<\/p>\n

\u00a0<\/p>\n

Traducido por: Guillermo Vidal Quinteiro<\/p>\n","protected":false},"excerpt":{"rendered":"

Pasaron s\u00f3lo unas pocas semanas desde el perturbante descubrimiento de Heartbleed, la vulnerabilidad de OpenSSL. Pero los problemas para los ciudadanos ordinarios como t\u00fa o yo no se terminaron all\u00ed.<\/p>\n","protected":false},"author":32,"featured_media":3058,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[5,6],"tags":[163,68,61,234,279,1116,1115,31,38,410],"class_list":{"0":"post-3055","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-news","9":"tag-bug","10":"tag-facebook","11":"tag-google","12":"tag-hack","13":"tag-kaspersky-internet-security","14":"tag-oauth","15":"tag-openid","16":"tag-phishing","17":"tag-seguridad","18":"tag-vulnerabilidad"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mantente-alerta-openid-y-oauth-son-volunerables\/3055\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/bug\/","name":"bug"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/3055","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=3055"}],"version-history":[{"count":6,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/3055\/revisions"}],"predecessor-version":[{"id":21386,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/3055\/revisions\/21386"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/3058"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=3055"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=3055"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=3055"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}