La mayoría de webs HTTPS, 90%, son vulnerables






Un estudio realizado por TIM (Trustworthy Internet Movement) ha revelado que nada menos que el 90 por ciento de 200.000 sitios webs con seguridad HTTPS habilitada, son vulnerables a ataques SSL.

Bajo el proyecto SSL Pulse, TIM utiliza tecnología de escaneo automatizado desarrollado por la firma de seguridad Qualys para analizar la fuerza de las implementaciones HTTPS en los 200.000 sitios web más visitados del mundo de la lista analítica Alexa.

SSL Pulse comprueba qué protocolos son compatibles con los sitios web habilitados con transferencia segura de datos de Hypertext HTTPS (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, etc), la longitud de clave que se utiliza para las comunicaciones (512 bits, 1024 bits, 2048 bits, etc) y la fuerza del cifrado (256 bits, 128 bits o menos).




Las conclusiones son bastante desalentadoras como muestra los resultados del informe. Los principales son:

  • Únicamente un 10 por ciento de sitios web HTTPS pueden ser considerados seguros.
  • Un 75 por ciento de ellos (148.000) son vulnerables a ataques por fuerza bruta.
  • Un tercio de ellos todavía utiliza el protocolo Secure Sockets Layer (SSL) 2.0 considerado totalmente inseguro.
  • Un 40 por ciento de sitios utilizan cifrado considerado no-seguro
  • Únicamente un 8 por ciento de sitios tienen certificado de validación extendido.
  • Son contados los sitios HTTPS que utilizan TLS 1.1 y 1.2, los protocolos más avanzados en comunicaciones seguras en Internet.


Así las cosas, TIM ha establecido un grupo de trabajo de expertos en seguridad, que va a revisar este informe y desarrollar propuestas de mejora a todos los niveles de SSL. Entre sus integrantes se encuentran Michael Barrett, responsable de seguridad de PayPal; Taher Elgamal, uno de los creadores del protocolo SSL; Adam Langley, ingeniero de Google responsable de la seguridad de Chrome o Ryan Hurst, CTO de GlobalSign.


Fuente: MuyComputer