Vulnerabilidades del protocolo HTTPS

Jhonatan Gonzlez, Adriana M. Torres, Peter A. Vargas

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera, Universidad Abierta y a Distancia
Bogot, Colombia
7jhogove@gmail.com
adrianato2006@hotmail.com
peter.vargasg@gmail.com
Abstract Este documento pretende dar a conocer a las
comunidades, compaas y dems interesados los principales
ataques al protocolo HTTPS o Protocolo Seguro de Transferencia
de Hipertexto en pginas Web, pudiendo buscar una
implementacin de mejores prcticas de Seguridad Informtica
dentro de sus Sistemas de Informacin.

I. INTRODUCCIN
Cada uno de nosotros como seres humanos con una
capacidad intelectual de pensar, razonar y tomar decisiones
complejas, nos capacitamos da a da con cada suceso que nos
ocurre, es por esto que como parte adicional nos capacitamos
voluntariamente para aumentar nuestro conocimiento en un rea
especfica y poder practicarlo a futuro, satisfaciendo unas
necesidades personales de nuevo conocimiento que ayudarn en
nuestro trabajo como profesionales y en nuestra familia como
personas de sociedad.
El curso de Proyecto de Grado nos prepara para la
presentacin de nuestro proyecto de grado como su nombre lo
indica, siendo este un requisito importante para graduarnos
como Ingenieros en Sistemas.
En este trabajo se realizar un artculo que pretenda presentar
en una ponencia nacional o internacional el presente proyecto y
publicarla en una revista indexada que presente la informacin
contenida de la propuesta completa elaborada durante el
desarrollo del curso.
II. Principales Ataques del Protocolo HTTPS
Una de las herramientas ms importantes para el desarrollo
de todo tipo de actividades que han aparecido a lo largo del siglo
XX, ha sido el computador, y de la mano de este las
comunicaciones mediante Internet. Es por ello que las empresas
han hecho un gran uso de esas herramientas para facilitar la
ejecucin de sus tareas y para comunicarse con sus clientes,
ofreciendo por un lado una amplia gama de opciones eficientes
para hacer las cosas, y, por otro lado, los avances tecnolgicos
en el desarrollo hacen que cada da sea ms sencillo
implementar soluciones de TI sin necesidad de contar con
mucho conocimiento.
La facilidad que existe actualmente para la implementacin
de servicios web empresariales ha permitido que se deje de lado
la debida estructuracin y documentacin de medidas y
polticas de seguridad de la informacin a nivel corporativo.

Es comn pensar que el protocolo HTTPS ofrece todos los

niveles de seguridad requeridos para una transaccin en
particular, dejando de lado la investigacin y la apropiacin del
conocimiento relacionado con las vulnerabilidades propias de
dicho protocolo. Esto ha permitido que se pasen por alto
aspectos de seguridad importantes de dicho protocolo
permitiendo ataques al mismo.
Los ataques al protocolo HTTPS vienen en incremento en los
ltimos 5 aos, debido al auge de la implementacin de
servicios web transaccionales, como las compras y los pagos en
lnea, es por lo anterior que se realiza una investigacin,
realizando una evaluacin, caracterizacin y documentacin de
las principales vulnerabilidades del protocolo HTTPS, con el
objetivo de dar a conocer a las comunidades, compaas y
dems interesados, el conocimiento para implementar mejores
prcticas de seguridad informtica dentro de sus sistemas de
informacin.
A. Vulnerabilidades
Los estudios realizados para la identificacin de las 3
vulnerabilidades principales del protocolo HTTPS arrojan como
resultado de acuerdo a la frecuencia y a la gravedad con la que
se presenta una vulnerabilidad lo siguiente:
1)
Contenido Esttico: HTTPS es vulnerable cuando se
aplica a contenido esttico de publicacin disponible. El sitio
entero puede ser indexado usando una araa web, y la URL del
recurso cifrado puede ser adivinada conociendo solamente el
tamao de la peticin/respuesta, permitiendo al atacante tener
acceso al texto plano o contenido esttico de la publicacin, y
al texto cifrado que es la versin cifrada del contenido esttico,
permitiendo un ataque criptogrfico. El nivel de proteccin del
HTTPS depende de la exactitud de la implementacin del
navegador web, del software del servidor y de los algoritmos de
cifrado actualmente soportados.
2)
Freak Attack: 2. El denominado FREAK attack, en
donde se lanza un ataque desde sitios aparentemente seguros,
pertenecientes a una variedad de organizaciones que va desde
entidades gubernamentales de Estados Unidos como la propia
Casa Blanca hasta bancos. De esta forma, se obligaba a los
navegadores a usar una tcnica de cifrado notablemente ms
dbil, lo que habilita el robo de informacin personal que estos
alojan, como credenciales de acceso a servicios web.

3)
Debilidad en RC4: Debilidad en el
cifrado RC4, que suele ser utilizado para
comunicaciones SSL/TLS que sustentan las
especialmente para transacciones monetarias
atraviesan redes no fiables.

algoritmo de
asegurar las
pginas web,
y cuando se

B. Estudios Realizados
Entidades pblicas, como privadas, han ahondado esfuerzos
con el fin de determinar las dimensiones de la vulnerabilidad
Freak Attack, un ejemplo de ello fue el estudio realizado por el
equipo de Censys el 03 de marzo de 2015, mediante el cual se
busc determinar quin es vulnerable a este tipo de ataque, para
ello se identific que servidores permiten o aceptan
RSA_Export, el cual es un tipo de cifrado que deja bajar el nivel
de seguridad del protocolo HTTPS, que es la parte clave de la
vulnerabilidad, estadsticamente se determin lo siguiente.
TABLA I
ESTADSTICAS PARA FREAK ATTACK

Servidores HTTPS en
Alexa Top 1 milln de
nombres de dominio
Servidores HTTPS
con certificados de
confianza para el
explorador
Todos los servidores

Actualmente
Vulnerables

Cambiaron despus
del 03 de marzo

8.5%

Por debajo del 9.6%

6.5%

Desde el 36.7%

11.8%

Por debajo de 26.3%

Es importante precisar que esta informacin se tiene como

fuente de informacin los portales web registrados en Alexa.
Esta pgina tiene las pginas web ms utilizadas en el mundo y
hasta clasificadas por pases, por lo que esta es una muestra
bastante considerable. Es este mismo estudio tambin se
identific los navegadores web vulnerables y cuales tiene un
parche de seguridad.
TABLA II
NAVEGADORES VULNERABLES
Navegadores Vulnerables
Explorador de Internet
Chrome Mac OS
Chrome Android
Safari Mac OS
Safari Android
Navegador Android
Navegador Blackberry
Opera en Mac OS

Estado
Parche disponible ahora
Parche disponible ahora
Parche disponible ahora
Parche disponible ahora
Parche disponible ahora
Parche disponible ahora
Parche disponible ahora
Parche disponible ahora

C. Pretensin
Con lo anterior es posible no solo dar a conocer las
principales vulnerabilidades del protocolo HTTPS, sino
tambin generar una cultura de implementacin de mejores
prcticas de seguridad informtica a la hora de crear sistemas de
informacin para las comunidades, compaas e interesados en
general.

III. CONCLUSIONES
Actualmente, las organizaciones e instituciones en general
dependen de la debida manipulacin de su principal activo: la
informacin. Esto se da porque centran sus actividades en los
medios digitales. Una de las tareas ms importantes que se
deben ejecutar para mantener esa informacin es dotar sus
sistemas e infraestructuras tecnolgicas de polticas y medidas
de proteccin adecuadas que garanticen la continuidad de sus
actividades, dndole con eso gran importancia a la labor del
profesional capacitado y en continuo proceso de investigacin
y actualizacin en temas de seguridad que estn en la capacidad
de implementar y gestionar de mejor la manera los sistemas de
informacin.
El aporte de esta investigacin es significativo desde la ptica
de la Ingeniera de Sistemas, ya que obliga a salir de zona de
confort a los desarrolladores de software y usuarios finales, en
relacin con la utilizacin del protocolo HTTPS, porque
incentiva la investigacin y la generacin de conocimiento de
los diferentes aspectos que se deben tener en cuenta para la
implementacin de servicios informticos seguros. Se debe
dejar de lado el diseo de sistemas pensando en la
Funcionalidad, pero pasando por alto la seguridad, y con
investigaciones de este tipo se espera establecer una
correspondencia y pertinencia entre las tcnicas adoptadas
conformando un sistema de seguridad desde las mismas etapas
de anlisis y diseo.
Se generan nuevos interrogantes y problemticas expectantes
de una solucin transversal desde la ptica del desarrollo de
software, con nuevos protocolos o mecanismos automticos de
proteccin, desde la perspectiva del usuario final como del
administrador de tecnologas de la informacin y la
comunicacin.
A pesar de que el protocolo seguro de transferencia de
hipertexto o HTTPS, es un protocolo de aplicacin basado en el
protocolo HTTP pero destinado a la transferencia segura de
datos de Hipertexto, este presenta algunas vulnerabilidades
siendo susceptible de ataques hackers, en los cuales, segn el
estudio realizado ms a fondo se pudo evidenciar 3 tipos
principales de estas vulnerabilidades: El primero, es cuando se
aplica a contenido esttico de publicacin disponible, siendo el
sitio entero indexado usando una araa web, y pudindose la
URL del recurso cifrado ser adivinada al conocer solamente el
tamao de la peticin/respuesta, permitiendo al atacante tener
acceso al texto plano o contenido esttico de la publicacin, y
al texto cifrado que es la versin cifrada del contenido esttico,
permitiendo un ataque criptogrfico. El segundo, denominado
Freak Attack, en donde se lanza un ataque desde sitios
aparentemente seguros, pertenecientes a una variedad de
organizaciones seguras como entidades gubernamentales o
bancos, obligando a los navegadores usar una tcnica de cifrado
notablemente ms dbil, habilitando el robo de informacin
personal que estos alojan, como credenciales de acceso a

servicios web. Y tercero, la debilidad en el algoritmo de cifrado

RC4, que suele ser utilizado para asegurar las comunicaciones
SSL/TLS y sustenta las pginas web, especialmente para
transacciones monetarias y cuando se atraviesan redes no
fiables.
Por medio de la presente investigacin se encuentra una
necesidad constante de estudio del protocolo HTTPS,
demostrando la necesidad de bsqueda de debilidades as, como
como en diferentes reas de sistemas que permitan una
evolucin y mejora continua en rendimiento y fortalecimiento
de debilidades, debido a que personas malintencionadas con
muchos conocimientos se toman el tiempo para encontrar estas
fallas.

RECONOCIMIENTOS
Se agradece la realizacin del presente proyecto
principalmente al seor tutor Wilmar Liberto Copete que ha
estado atento al desarrollo del mismo a lo largo de la materia.
Igualmente se agradece a los diferentes autores del material
bibliogrfico consultado a lo largo de la materia, que con sus
conocimientos expusieron ideas y dieron a conocer estudios
relacionados al protocolo HTTPS.

[1]

[2]

[3]

REFERENCIAS
William J. y Hatt, Paul K., 1976. Mtodos de investigacin social.
Trillas. DF, Mxico. Mendieta Alatorre, ngeles. 1980. Mtodos de
investigacin y manual acadmico. 13a. edicin. Porra. DF, Mxico.
Mtodos y tcnicas cualitativas de investigacin en ciencias sociales.
1994. Editores: Juan Manuel Delgado y Juan Gutirrez. Editorial
Sntesis, S.A. Madrid, Espaa.
Padua, Jorge y otros. 1979. Tcnicas de investigacin aplicadas a las
ciencias sociales. Fondo de Cultura Econmica. DF, Mxico.