En los últimos días se ha publicado un complemento para Mozilla Firefox llamado "FireSheep" que permite a una persona conectada a una red Wi-Fi que no utilice cifrado, interceptar cuando los demás usuarios de la red utilizan sus cuentas en determinados servicios tales como Google/Gmail, Facebook, Twitter (podría haber más, estos son los que se ven en los ejemplos) y suplantarles en sus sesiones.
El problema no es que esto no se pudiera hacer hasta ahora, pero era más complicado y no era realmente viable que se hiciera en cualquier parte y en cualquier momento. Pero FireSheep es un programa extremadamente sencillo de utilizar por parte de cualquier persona, sin necesitar ningún conocimiento de informática, programación, redes ni nada. Basta instalar el programa (se instala fácil y automáticamente como un plug-in del navegador; se muestra como un panel lateral en el navegador), conectar a una red Wi-Fi sin cifrado, activarlo (pulsar un botón), y esperar a que alguno de los otros usuarios de la red Wi-Fi en cuestión acceda a su cuenta de Google, Facebook, etc. (o haya accedido previamente y la esté utilizando actualmente). Los usuarios y sus cuentas aparecen en el panel lateral del navegador, y solamente hay que pulsar en el usuario de la lista para que el programa abra en el navegador la página de ese usuario suplantando su misma sesión sin necesidad de saber su contraseña. Es decir: si se accede a la sesión de un usuario de Google/Gmail, se tiene acceso a su cuenta de correo para leer mensaje o enviarlos; si se accede a la sesión de un usuario de Facebook, se puede ver o modificar su perfil...
- Por parte de los administradores de las redes Wi-Fi que no usen cifrado. Estas redes no deberían funcionar sin cifrado, sino activar el cifrado WPA2 (o si no WPA) utilizando una clave conocida y pública para todos (aunque todos los usuarios compartan la misma clave y ésta pueda ser obtenida por cualquier persona, el cifrado es distinto para cada usuario y por tanto es seguro).
- Por parte de los sitios web, que deberían utilizar cifrado HTTPS no sólo en la página de inicio de sesión, sino durante toda la utilización del sitio por parte de los usuarios. Creo que actualmente GMail permite como opción utilizar HTTPS en toda la sesión.
Los siguientes enlaces dan más información sobre todo esto: