Hace algunos días lo comentaba en las redes sociales, luego de ver a un amigo iniciar sesión en su blog bajo una WiFi abierta sin ningún tipo de preocupación. ¿Por qué debería de preocuparse? Pues cuando nos logueamos en WordPress la contraseña viaja en texto claro por la red y cualquiera que la esté sniffeando la podría capturar.
En la siguiente imagen se puede ver un ejemplo con Wireshark, una excelente aplicación para capturar y analizar paquetes. Al loguearme en mi blog y analizar lo que viaja por la red, puedo ver la contraseña sin mayores complicaciones:
Lo mismo sucedería con cualquier sitio o formulario que no esté cifrando la información antes de enviarla al servidor, es decir, que no esté utilizando el famoso HTTPS o candadito durante el login.
Es por ello que siempre se recomienda verificar el https antes de ingresar información sensible en una web como usuarios, contraseñas, tarjetas de crédito, etc. Si el https se encuentra disponible la información que viaje por la red no podrá ser vista en texto claro.
Veamos otro ejemplo, en este caso con el sitio statcounter.com:
La contraseña viaja en texto claro, sin embargo el servicio admite el login y el uso de una sesión segura al acceder a https://statcounter.com, de esta forma ni el usuario ni la contraseña que se ingresan serían visibles.
Ahora bien, configurar un certificado SSL en el servidor para el login de WordPress -y toda la sesión- puede que no sea lo más práctico para la mayoría de los bloggers, pero hay alternativas más sencillas de aplicar como la instalación de plugins que cifran la contraseña durante el login… uno de ellos es Chap Secure Login el cual utiliza el protocolo CHAP.
En la siguiente captura se puede ver que al utilizarlo la contraseña ya no viaja en texto claro:
Otra alternativa es el uso de una VPN para que todo el tráfico de nuestro equipo salga de forma cifrada de tal forma que no pueda ser interpretado por un atacante, particularmente me gusta el servicio ofrecido por AlwaysVPN por ser muy sencillo de utilizar en Windows, Linux y Mac (aunque es de pago), pero también hay opciones gratuitas.
En la siguiente imagen se pueden ver los paquetes capturados de una conexión VPN, en este caso ni la contraseña ni los sitios por los cuales se navega son visibles a simple vista:
Finalmente, otra buena opción si se tiene un móvil con 3G es compartir esa conexión con la notebook para acceder al blog y otros servicios que requieran el envío de datos sensibles. Cabe mencionar que si se comparte la conexión del móvil en modo wifi es importante cifrar el punto de acceso para que otros no se puedan conectar.
Espero que la información resulte útil y tengan cuidado a la hora de conectarse en wifis abiertas, nunca se sabe quien puede estar «escuchando» :)
Ver también:
Secure WordPress: oculta información que puede ser útil para un atacante.
mdk3 creando fake APs y desconectando a todos de la WiFi.