Archivo de la etiqueta: bypassing

Bypassing ES_ introduccion rapida

INTRODUCCIÓN RAPIDA

Internet es censurado cuando personas o grupos que controlan la red impiden acceder a los usuarios de Internet a algún contenido o servicio en particular.La censura de Internet adopta muchas formas. Por ejemplo, los gobiernos pueden bloquear servicios de correo electrónico regulares con el objetivo de obligar a los ciudadanos a usar el correo electrónico establecido por el gobierno que puede ser fácilmente monitoreado, filtrado o apagado. Algunos padres pueden controlar el acceso de sus hijos. Una universidad puede impedir a sus estudiantes el acceso a Facebook desde la biblioteca. Un dueño de un Cibercafé puede bloquear la transferencia de ficheros punto a punto. Gobiernos autoritarios pueden censurar reportes de abusos de los derechos humanos o de la última elección robada. Las personas tienen una amplia variedad de puntos de vista acerca de la legitimidad o ilegitimidad de estas formas.

EVASIÓN DE LA CENSURA

Evadir la censura es el acto de sortear o burlar las prohibiciones que rigen el acceso a Internet. Hay muchas formas de hacer esto, pero casi todas las herramientas de evasión funcionan aproximadamente de la misma forma. Hacen que nuestro navegador Web tome un desvío a través de una computadora intermediaria, llamada proxy, que:

está localizado en algún lugar que no está sujeto a la censura de Internet
no ha sido bloqueado en nuestra localización
sabe cómo buscar y devolver el contenido a usuarios como nosotros.
SEGURIDAD Y ANONIMATO

Es preciso tener en mente que ninguna herramienta es la solución perfecta para nuestra situación. Diferentes herramientas ofrecen varios grados de seguridad, pero la tecnología no puede eliminar los riesgos físicos que aceptamos cuando nos oponemos a las personas que tienen el poder. Este libro contiene varios capítulos que explican cómo funciona Internet lo que es muy importante para entender cómo estar más seguros cuando evadimos la censura.

HAY MUCHAS VARIACIONES

Algunas herramientas solo trabajan con el navegador Web, mientras otras pueden ser usadas por varios programas a la vez. Estos programas necesitan ser configurados para enviar el tráfico a Internet a través de un proxy. Con un poco de paciencia extra, podemos hacer todo esto sin necesidad de instalar ningún software en la máquina. Es bueno notar que las herramientas que buscan páginas Web pueden mostrar el sitio de forma incorrecta.

Algunas herramientas usan más de un intermediario con el objetivo de ocultar el hecho de que estamos visitando servicios bloqueados. Esto también oculta nuestras actividades del proveedor de la herramienta, lo que puede ser importante para el anonimato. Una herramienta puede tener una forma inteligente de aprender sobre proxis alternativos, y puede conectarse a ellos en caso de que el que estemos usando haya sido censurado. Idealmente, el tráfico creado por estas peticiones, ya sean búsquedas o envíos, es encriptado con el objetivo de protegernos de los entrometidos.

Pero la selección de la herramienta adecuada para una situación particular no es la decisión más importante que tomaremos cuando accedamos o produzcamos contenido frente a la censura de Internet. Aunque es difícil proporcionar un consejo concreto en estas cosas, es muy importante que nos dediquemos a evaluar:

Cómo, cuándo y dónde pretendemos usar estas herramientas
Quién puede querer impedir que hagamos las cosas que permiten hacer las herramientas
Qué tan fuerte esas organizaciones e individuos se oponen a su uso
Qué recursos tienen a su disposición para alcanzar su meta deseada, incluyendo la violencia
ACCEDIENDO A LOS SITIOS WEB MÁS BLOQUEADOS SIN PROGRAMAS EXTRAS

La herramienta de evasión de censura de Internet básica es un proxy Web. Mientras existen muchas razones por las cuales esta no sea la solución óptima, para propósitos de sorteo de censura básicos este puede ser un buen comienzo. Asumiendo que aún no ha sido bloqueado desde nuestra localidad, visita la siguiente dirección: http://sesaweenglishforum.net

Aceptamos las Condiciones del Servicio e introducimos en la barra de URL la dirección del sitio bloqueado que queremos visitar:

Presionamos Enter o hacemos click en GO, y si navegamos satisfactoriamente al sitio solicitado entonces funciona. Si el enlace de arriba no funciona, debemos buscar un método de sorteo de censura alternativo. Los capítulos Proxy Web y Psiphon de este libro ofrecen algunas recomendaciones sobre cómo encontrar un proxy web y muchos consejos sobre si nos conviene usarlo o no una vez que decidamos hacerlo.

Si necesitamos acceso a todo un sitio como Facebook, podemos usar una herramienta instalable como Ultrasurf en lugar de un proxy Web. Si deseamos o requerimos una solución que pase por una prueba rigurosa de seguridad y que nos ayude a mantener en el anonimato sin necesidad de saber quien administra el servicio podemos usar Tor. Si necesitamos acceder a recursos no-web filtrados, como plataformas de mensajería instantánea o servidores de correo filtrado (del tipo que usan programas como Mozilla Thunderbird o Microsoft Outlook), podemos intentar con HotSpot Shield o algún otro servicio OpenVPN. Todas estas herramientas, que tienen su propio capítulo en este libro, son brevemente descritas debajo.

ACCEDIENDO A TODOS LOS SITIOS WEB BLOQUEADOS Y PLATAFORMAS

Ultrasurf es una herramienta proxy gratis para el sistema operativo Windows que puede ser descargado en http://www.ultrareach.com/, http://www.ultrareach.net/ o http://www.wujie.net/. El fichero descargable zip se extrae con un clic derecho y seleccionando “Extraer todo…”. El fichero resultante .exe puede ser inicializado directamente (incluso desde una memoria extraíble USB en un Cibercafé) sin instalación.

Ultrasurf se conecta automáticamente y lanza una nueva instancia del Internet Explorer que puede ser usado para abrir sitios bloqueados.

EVADIENDO LOS FILTROS Y MANTENIENDO EL ANONIMATO EN LA RED

Tor es una red de servidores proxy sofisticada. Es un programa de código abierto gratis desarrollado principalmente para permitir navegación Web anónima, pero es además una herramienta de sorteo de censura genial. El Tor Browser Bundle para Windows, Mac OS X o GNU/Linux puede descargarse desde: https://www.torproject.org/download/download.html.en. Si el sitio Web torproject.org está bloqueado, podemos intentar descargarlo escribiendo en el motor de búsqueda favorito “tor mirror” o enviando un correo electrónico a gettor@torproject.org con la palabra “help” en el cuerpo del mensaje.

Cuando hacemos clic en el fichero descargable, el se extrae en el lugar que seleccionamos. Esto puede ser también en una memoria extraíble USB en un Cibercafé. Podemos iniciar Tor haciendo clic en “Start Tor Browser” (debemos asegurarnos de cerrar cualquier instancia de Tor o Firefox que se esté ejecutando). Después de unos segundos, Tor inicia automáticamente una versión especial del navegador Web Firefox con una página de prueba. Si vemos el mensaje verde “Congratulations. Your browser is configured to use Tor ” entonces podemos usar esa ventana para abrir sitios Web bloqueados.

ENVIANDO TODO EL TRÁFICO DE INTENRNET A TRAVÉS DE UN TÚNEL SEGURO

Si deseamos acceder a otros servicios de Internet, por ejemplo a un cliente de correo electrónico como Outlook o Thunderbird, una forma fácil y segura es usar una red privada virtual (VPN). Una VPN cifra y envía todo el tráfico de Internet entre nuestra computadora y otra computadora, así que no solo hará que todo el tráfico de Internet parezca similar ante una “escucha” sino que el cifrado hará ilegible el tráfico del túnel a cualquiera que esté escuchando en el camino. Mientras estamos conectados a una VPN el ISP no verá nuestro contenido, pero podrá ver que nos estamos conectando a una VPN. Como muchas compañías internacionales usan la tecnología VPN para conectar de forma segura sus oficinas remotas, es poco probable bloquear está tecnología completamente.

Hotspot Shield

Una forma fácil de empezar con VPN es usando Hotspot Shield. Hotspot Shield es una solución VPN gratis (pero es comercial) disponible para los sistemas operativos Windows y Mac OS X.

Para instalar Hotspot Shield debemos descargar el programa desde https://www.hotspotshield.com. El tamaño es de 6MB, así que en una conexión dial-up lenta tomará para descargarlo 25 minutos o más. Para instalarlo, hacemos doble clic en el fichero descargado y seguimos los pasos del asistente de instalación.

Una vez que la instalación esté completa, iniciamos Hotspot Shield desde el ícono en el escritorio o por la vía “Programas > Hotspot Shield”. Una ventana de navegación se abre con una página de estado que muestra varias etapas de conexión como “Authenticating” y “Assigning IP address”. Una vez que nos conectemos, Hotspot Shield nos redirecciona a la página de bienvenida. Clic en “Start” para comenzar a navegar.

Para parar Hotspot Shield, clic derecho en el icono de la barra de tareas y seleccionamos “Disconnect/OFF”.

Bypassing ES_ evasion y seguridad

EVASIÓN Y SEGURIDAD

El tipo de seguridad que necesitamos depende de nuestras actividades y sus consecuencias. Hay algunas medidas de seguridad que todos debiéramos practicar aunque no nos sintamos amenazados. Algunas formas de ser cautelosos en línea requieren más esfuerzo, pero son necesarias debido a severas restricciones al acceso a Internet. Podemos estar amenazados por tecnología que se esté investigando y poniendo en práctica rápidamente, vieja tecnología, uso de inteligencia humana, o la combinación de las tres. Todos estos factores pueden cambiar a menudo.

ALGUNAS BUENAS PRÁCTICAS DE SEGURIDAD

Hay algunos pasos que todo el mundo debiera dar para mantener su computadora segura. Esto va desde proteger la información de nuestra red de activistas hasta el número de nuestra tarjeta de crédito, pero en todos estos casos las herramientas pueden ser las mismas.

Debemos tener cuidado de los programas que prometen una seguridad perfecta: la seguridad en línea es la combinación de un buen programa y de un buen comportamiento humano. La tecnología por sí sola no nos ayuda a saber lo que debemos mantener offline, en quien confiar, y otras preguntas de seguridad. Por eso debemos buscar programas que tengan listadas sus debilidades conocidas en el sitio de sus autores o programas que sean revisados o validados por terceros.

Es necesario mantener nuestro sistema operativo actualizado: los desarrolladores de sistemas operativos brindan actualizaciones que debemos instalar de cuando en cuando. Esto se puede hacer de forma automática o podemos solicitarla entrando un comando o ajustando la configuración del sistema. Algunas de estas actualizaciones hacen nuestras computadoras más eficientes y facilitan su uso, y otras reparan huecos de seguridad. Los atacantes aprenden sobre los huecos de seguridad de forma rápida, algunas veces incluso antes de que sean reparados, así que repararlos a tiempo es crucial.

Si aún usamos Microsoft Windows, debemos usar un antivirus y mantenerlo actualizado. Se denota por malware a los programas desarrollados con el propósito de robar información o para usar nuestra computadora para otros propósitos.
Los virus y el malware en general pueden ganar acceso en nuestro sistema, hacer cambios y ocultarse. Estos pueden llegar a nosotros a través del correo electrónico, o estar simplemente en alguna página Web que visitemos, o ser parte de un fichero que no parezca sospechoso. Los proveedores de programas antivirus constantemente investigan las amenazas emergentes y las adicionan en la lista de cosas que nuestra computadora debe bloquear. Con el objetivo de permitir que el programa reconozca nuevas amenazas debemos instalar las actualizaciones en la medida que son publicadas.

Es necesario el uso de buenas contraseñas: todos los sitemas de contraseña son vulnerables, pero podemos mejorar nuestra seguridad haciendo más difícil de adivinar nuestras contraseñas. Es necesario usar combinación de letras, signos de puntuación y números. Combinar letras mayúsculas y minúsculas. No usar números de cumpleaños, o palabras que puedan ser adivinadas a través de información pública acerca de nosotros.

Es aconsejable también usar programas de código abierto, (FOSS por sus siglas en inglés, Free and Open Source Software). Los programas de código abierto están disponibles como productos terminados o productos en desarrollo para usuarios e ingenieros de software. Esto ofrece algunas ventajas en cuanto a seguridad, frente a los programas de código cerrado que solo están disponibles en los países a través de canales ilegales debido a restricciones de exportación o costo. Quizás no podamos descargar actualizaciones oficiales para software pirateado. Con los programas de código abierto no hay necesidad de buscar a través de sitios de dudosa procedencia una copia libre de spyware y de problemas técnicos. Cualquier copia legítima será gratis y será provista por sus creadores. Si emergen defectos en la seguridad, serán reparados por voluntarios y usuarios interesados. Una comunidad de ingenieros trabajarán en la solución, rápidamente.

También es bueno usar programas que separen “quienes somos” del “donde estamos”. Toda computadora conectada a Internet tiene una dirección IP. Una dirección IP puede ser usada para encontrar nuestra ubicación física tecleando dicha dirección en algún sitio “whois”. Los proxis, VPN y Tor enrutan nuestro tráfico a través de una a tres computadoras alrededor del mundo. Si vamos a pasar por un solo servidor, debemos tener en cuenta que al igual que un ISP, el operador del proxy puede ver todo nuestro tráfico. Puede que confiemos mas en el operador del proxy que en el ISP, pero las mismas advertencias se aplican para cualquier fuente individual de conectividad. Ver las secciones que abarcan proxis, Tor, y VPN para más detalles sobre sus riesgos.

Otro elemento de importancia es usar CDs y memorias USB booteables. Si usamos una computadora de uso público o cualquier otra en la que no queramos dejar datos, es aconsejable usar una versión de Linux que podamos ejecutar desde una memoria USB. Los CD y memorias USB booteables se pueden usar sin necesidad de instalar nada.

Es bueno también usar programas “portables”: hay versiones portables de programas de evasión que se pueden ejecutar en Windows desde una memoria USB.

Por último es necesario mantenernos informados. La tecnología que funciona hoy puede mañana dejar de hacerlo o ser insegura. Incluso aunque no la necesitemos ahora, debemos saber dónde encontrar la información. Si los proveedores de programa que usamos tienen forma de brindar soporte, debemos asegurarnos de cómo contactarlos antes que los sitios sean bloqueados.

ACCEDIENDO A REDES SOCIALES DE FORMA MÁS SEGURA

En el contexto de las sociedades cerradas y los países autoritarios, el monitoreo se convierte en la mayor amenaza para los usuarios de redes sociales, especialmente si usan el servicio para coordinar actividades sociales y civiles o conectarse con el activismo en línea o el periodismo nacional.

Un tema central con la plataforma de red social es la cantidad de datos privados que compartimos sobre nosotros mismos, nuestras actividades y nuestros contactos, y quienes tienen acceso a esto. Como la tecnología evoluciona y las plataformas de red social son más accedidas a través de teléfonos sofisticados, la revelación de las ubicaciones de los usuarios de una plataforma de red social en cualquier momento se convierte en una amenaza significativa.

En este contexto, algunas precauciones son cruciales; por ejemplo debemos:

revisar nuestra configuración de privacidad
saber precisamente que información compartimos y con quién
asegurarnos de que entendemos la configuración de posicionamiento geográfico, y editarla si es necesario
solo aceptar en nuestra red personas en las que realmente confiemos
solo aceptar en nuestra red personas que protegerán nuestra información privada
tener en cuenta que incluso las personas más confidentes pueden dar información nuestra si se sienten amenazadas por nuestro adversario, así que es necesario limitar quién accede a qué información
tener en cuenta que acceder a una plataforma de red social por la vía de una herramienta de evasión no nos protegerá automáticamente de las amenazas a nuestra privacidad
Una lectura recomendada es este artículo de Privacy Rights Clearinghouse: “Social Networking Privacy: How to be Safe, Secure and Social”: http://www.privacyrights.org/social-networking-privacy/#general-tips

¿Cómo podemos acceder a nuestra plataforma de red social cuando está filtrada?

Como se describió antes, usar HTTPS para acceder a sitios Web es importante. Si nuestra plataforma de red social permite accesos HTTPS, debemos usarlo exclusivamente y si es posible, hacerlo por defecto. Por ejemplo, en Facebook, podemos editar nuestra configuración de cuenta: Account Settings > Account Security > Secure Browsing (https) para lograr que HTTPS sea la vía de conexión por defecto en nuestra cuenta. En algunos lugares, usar HTTPS nos permite acceder a algunos servicios bloqueados; por ejemplo, http://twitter.com/ ha sido bloqueado en Burma mientras https://twitter.com/ permanece accesible.

Si deseamos proteger nuestro anonimato y privacidad mientras usamos una herramienta de evasión un túnel SSH o VPN nos pueden garantizar una mayor privacidad que un proxy web, incluso ante el riesgo de revelar nuestra dirección IP. Incluso usando una red anónima como Tor puede ser insuficiente porque las plataformas de red social hacen que sea muy fácil revelar la información de identificación y exponer detalles de nuestros contactos y relaciones sociales.
USO MÁS SEGURO DE COMPUTADORAS DE USO COMPARTIDO

Una proporción significativa de la población mundial, especialmente en países desarrollados, no tienen acceso personal a Internet desde su casa. Esto puede ser debido a los costos de tener Internet privado en las casas, la falta de equipamiento de computadoras personales, o problemas en las infraestructuras de redes eléctricas y de telecomunicaciones.

Para esta parte de la población el único medio razonable para acceder a Internet es usar lugares donde las computadoras se comparten entre individuos diferentes. Esto incluye cibercafés, Telecentros, estaciones de trabajo, escuelas o bibliotecas.

Ventajas potenciales de computadoras compartidas

Hay ventajas al acceder a Internet en computadoras compartidas:

Podemos recibir consejos o asistencia técnica de otros usuarios o personal capacitado en cómo evadir el filtrado.
Las herramientas de evasión pueden estar instaladas y pre-configuradas.
Los usuarios pueden compartir información no censurada a través de medios sin conexión.
Si no somos usuarios regulares de un local de navegación en particular, no tenemos que ofrecer documentos identificativos al operador de dichas habilidades y no tenemos que registrarnos usando nuestro nombre real o información de cuenta, será más difícil rastrearnos basándose en nuestra actividad en línea.
Riesgos generales de las computadoras compartidas

El hecho de que accedamos a Internet desde un espacio público no lo hace anónimo o más seguro para nosotros. Es muy posible que sea todo lo contrario. Algunas de las principales amenazas son:

El dueño de la computadora, o incluso la persona que la usó antes de nosotros, puede fácilmente programar la computadora para que espíe lo que hacemos, incluyendo que puede guardar todas nuestras contraseñas. La computadora también puede ser programada para evadir y anular cualquier protección de privacidad o software de seguridad que usemos.
En algunos países como Burma y Cuba, los clientes de cibercafés tienen que mostrar su carnet de identidad o número de pasaporte antes de usar un servicio. Esta identificación puede ser almacenada junto al historial de navegación Web.
Cualquier información que dejemos en la computadora puede ser registrada (historial de navegación, cookies, ficheros descargados, etc.).
Pueden estar instalados programas que guarden cada golpe de teclado durante nuestra sesión. Incluyendo nuestras contraseñas, incluso antes que esta información sea enviada a Internet. En Vietnam, un teclado aparentemente inocente para teclear caracteres vietnamitas fue usado para monitorear las actividades en los cibercafés y en otros lugares de acceso público.
La actividad de nuestro monitor puede ser guardada por un programa que toma instantáneas de pantalla en intervalos regulares, monitoreados a través de cámaras CCTV, o simplemente observados por una persona (por ejemplo, el administrador de un cibercafé) sobre nuestro hombro.
Computadoras compartidas y censura

Además de la vigilancia, los usuarios de computadoras compartidas a menudo tienen acceso limitado a Internet y tienen que enfrentar obstáculos adicionales para usar su herramienta de evasión favorita:

En algunos países, como Burma, los dueños de los cibercafés tienen que mostrar la lista de contenidos Web censurados y son responsables por el cumplimiento de la ley de censura forzada en sus negocios.
Un filtraje extra puede ser implementado por los administradores de los cibercafés (control y filtrado del lado del cliente), para complementar el filtrado implementado en el ISP o a nivel nacional.
Los usuarios pueden ser forzados por las restricciones del entorno a evitar la visita de sitios Web específicos por miedo al castigo, reforzando así la autocensura.
Las computadoras muchas veces son configuradas para que los usuarios no puedan instalar ningún programa, incluyendo las herramientas de evasión, o para que no puedan conectar ningún tipo de dispositivo al puerto USB (como memorias externas por USB). En Cuba, las autoridades han comenzado a desarrollar un programa de control para los cibercafés llamado AvilaLink que no permite a los usuarios instalar o ejecutar herramientas específicas desde una memoria externa USB.
Los usuarios pueden ser obligados a usar solo el navegador Internet Explorer, para evitar el uso de privacidad o de complementos de evasión para navegadores como en Mozilla Firefox o Google Chrome.

Mejores prácticas para seguridad y evasión

Dependiendo del entorno en el cual compartimos una computadora, podemos intentar hacer lo siguiente:

Identificar los medios de vigilancia implementados basados en la lista anterior (CCTV, vigilancia humana, keyloggers, etc) y comportarse consecuentemente.
Ejecutar programas de evasión desde memorias externas USB.
Usar un sistema operativo en el que tengamos control a través del uso de un LiveCD.
Cambiar de cibercafé a menudo cuando tememos a la vigilancia recurrente, o visitar el que sepamos que es confiable y seguro para conectarnos.
Usar nuestra propia laptop en los cibercafés en lugar de las computadoras públicas.
CONFIDENCIALIDAD Y HTTPS

Algunas redes filtradas usan principalmente (o exclusivamente) el filtrado de palabras claves, en lugar del filtrado de sitios web particulares. Por ejemplo, alguna red pudiera bloquear toda comunicación que contenga una palabra clave consideradas sensible desde el punto de vista político, religioso o cultural. Este tipo de bloqueo puede ser obvio o puede estar enmascarado tras un error técnico. Por ejemplo, algunas redes pueden hacer que aparezca un error técnico cuando se hace la búsqueda de algo que el operador de red piense que no debemos ver. De esta forma, los usuarios son menos propensos a responsabilizar de este problema a la censura.

Si el contenido de las comunicaciones de Internet no está cifrado, estará expuesto durante todo el trayecto de red del ISP, es decir enrutadores y firewalls, donde puede estar implementado el monitoreo basado en palabras clave. Ocultar el contenido de las comunicaciones cifrándolas hace que la censura sea mucho más difícil, porque el equipamiento de red no puede distinguir la comunicación que contiene las palabras claves prohibidas del resto.

Usar el cifrado de datos para mantener las comunicaciones confidenciales también evitan que el equipamiento de red pueda guardar los datos para analizarlos más tarde y etiquetar de forma individual lo que leemos o escribimos.

¿Qué es HTTPS?

HTTPS es la versión segura del protocolo HTTP usado para acceder a sitios web. Brinda una seguridad avanzada para acceder a los sitios web usando cifrado y así impedir que la comunicación esté expuesta a terceros. Usar HTTPS para acceder a un sitio puede evitar que los operadores de redes sepan que parte del sitio estamos usando o que información enviamos o recibimos desde el sitio. El soporte para HTTPS está incluido en los navegadores Web más populares, así que no necesitamos instalar o adicionar ningún programa para usarlo.

Usualmente, si un sitio está disponible a través de HTTPS, podemos acceder a la versión segura del sitio tecleando su dirección comenzando con https:// en lugar de http://. También podemos decir que estamos usando una versión segura de un sitio si la dirección mostrada en la barra de navegación de nuestro navegador comienza con https://.

No todos los sitios Web tienen una versión HTTPS. En realidad, quizás menos del 10% lo tienen –aunque los sitios más populares generalmente si lo soportan. Un sitio Web puede estar solo disponible a través de HTTPS si el operador de dicho sitio así lo dispone. Los expertos en seguridad de Internet han estado aconsejando con regularidad a los operadores de sitios a hacer esto, por lo que el número de sitios con HTTPS ha aumentado gradualmente.

Si tratamos de acceder a un sitio a través de HTTPS y recibimos un error, no siempre quiere decir que la red esté bloqueando el acceso a este sitio. Puede significar que este sitio no está disponible en HTTPS (para nadie). Sin embargo, ciertos tipos de mensajes de error muestran que alguien está bloqueando la conexión, especialmente si sabemos que ese sitio se supone debe estar disponible a través de HTTPS.

Ejemplos de sitios que ofrecen HTTPS

Aquí hay algunos ejemplos de sitios populares que ofrecen HTTPS. En algunos casos, el uso de HTTPS es opcional en estos sitios, y no obligatorio, así que debemos explícitamente seleccionar la versión segura para poder obtener los beneficios de HTTPS.

Nombre de sitio
Versión insegura (HTTP) Versión segura (HTTPS)
Facebook
http://www.facebook.com/ https://www.facebook.com/
Gmail
http://mail.google.com/ https://mail.google.com/
Google Search
http://www.google.com/ https://encrypted.google.com/
Twitter http://twitter.com/ https://twitter.com/
Wikipedia http://en.wikipedia.org/ https://secure.wikimedia.org/wikipedia/en/wiki/
Windows Live Mail (MSN Hotmail) http://mail.live.com/
http://www.hotmail.com/ https://mail.live.com/
Por ejemplo, si hacemos una búsqueda desde https://encrypted.google.com/ en lugar de hacerlo desde http://www.google.com/, nuestro operador de red no será capaz de ver a partir de que términos se realice la búsqueda, y por tanto no puede bloquear Google de responder búsquedas “inapropiadas”. (Sin embargo, el operador de red puede decidir bloquear encrypted.google.com totalmente). Similarmente, si usamos Twitter a través de https://twitter.com/ en lugar de http://twitter.com/, el operador de red no puede ver cuales tweets estamos leyendo, que etiquetas buscamos, cuales posteamos, o a qué cuenta nos registramos. (Sin embargo, el operador de red puede decidir bloquear el acceso a twitter.com usando HTTPS.)

HTTPS y SSL

HTTPS hace uso de un protocolo de seguridad de Internet llamado TLS (Transport Layer Security) o SSL (Secure Sockets Layer). Puede que hayamos escuchado referirse a un sitio como que usa SSL o que es un sitio SSL. En el contexto de un sitio Web, esto significa que el sitio está disponible a través de HTTPS.

Usando HTTPS además de nuestra tecnología de evasión

Incluso las tecnologías de evasión de censura que usan cifrado no son un sustituto de HTTPS, porque el propósito para el que se usa cada cifrado es diferente.

Para muchos tipos de tecnologías de evasión de censura, incluyendo VPN, proxis, y Tor, aún es posible y apropiado usar direcciones HTTPS cuando accedemos a un sitio bloqueado a través de la tecnología de evasión. Esto proporciona una gran privacidad y evita que el proveedor de tecnología de evasión guarde u observe lo que hacemos. Esto es importante incluso si confiamos en el proveedor de tecnología de evasión, (o la red que brinda dicha posibilidad) porque este puede ser forzado a dar información nuestra.

Algunos desarrolladores de tecnología de evasión como Tor aconsejan usar siempre HTTPS, para asegurarnos que los proveedores de evasión no puedan espiarnos. Podemos leer más de este tema en https://blog.torproject.org/blog/plaintext-over-tor-still-plaintext. Es bueno tener el hábito de usar HTTPS siempre que sea posible, aún cuando usemos algún otro método de evasión de censura.

Consejos para usar HTTPS

Si nos gusta marcar los sitios que accedemos frecuentemente de manera que no tengamos que teclear la dirección del sitio complete, es bueno marcar la versión segura de cada sitio en lugar de la insegura.

En Firefox, podemos instalar la extensión HTTPS Everywhere para llevar a cualquier sitio que visitemos a HTTPS automáticamente. Esto está disponible en https://www.eff.org/https-everywhere/.

Riesgos de no usar HTTPS

Cuando no usamos HTTPS, un operador de red como nuestro ISP o un operador de firewall nacional puede registrar todo lo que hacemos – incluyendo el contenido específico de las páginas que accedemos. Ellos pueden usar esta información para bloquear páginas particulares para crear registros que puedan ser usados en nuestra contra. Pueden también modificar el contenido de ciertas páginas o adicionar programas maliciosos para espiarnos o infectar nuestras computadoras. En muchos casos, otros usuarios de la misma red pueden también hacer esto aunque no sean los operadores oficiales.

En 2010, algunos de estos problemas fueron dramatizados por un programa llamado Firesheep, que hacía extremadamente fácil para los usuarios de una red tomar las cuentas de sitios de red social de otros usuarios. Firesheep funcionó porque, en el momento de ser creado, estas redes sociales no usaban HTTPS comúnmente, o lo usaban de forma limitada para proteger solo partes de sus sitios. Esta demostración llamó mucho la atención de los medios y provocó que varios sitios hicieran del HTTPS un requisito o al menos lo ofrecieran como una opción.También permitió que usuarios con pocas habilidades abusaran de otros usuarios tomando sus cuentas.

En Enero de 2011, durante un periodo de conflicto político en Túnez, el gobierno Tunecino comenzó a supervisar las conexiones de usuarios a Facebook de manera que el gobierno podía robar las contraseñas de usuarios. Esto se hizo modificando la página de registrarse a Facebook y adicionando un programa invisible que enviaba una copia de las contraseñas a las autoridades. Estas modificaciones son muy fáciles técnicamente y pueden ser hechas por cualquier operador en cualquier momento. Hasta donde se conoce, los usuarios tunecinos de Facebook que usaban HTTPS se mantuvieron a salvo de este ataque.

Riesgos de usar HTTPS

Cuando está disponible, usar HTTPS es siempre más seguro que usar HTTP. Incluso si algo va mal, no será fácil espiar nuestras comunicaciones. Por tanto es inteligente usar HTTPS siempre que podamos (pero debemos tener cuidado, en principio, usar cifrado puede estar regulado por ley en algunos países). Sin embargo, hay algunas formas en que HTTPS no brinda una protección completa.

Advertencias de seguridad de certificados

Algunas veces, cuando intentamos acceder a un sitio web sobre HTTPS, nuestro navegador web nos nuestra un mensaje de aviso describiendo un problema con el certificado digital del sitio. El certificado se usa para asegurar la seguridad de la conexión. Estos mensajes de avisos existen para protegernos contra los ataques, no debemos ignorarlos. Si ignoramos o sobrepasamos el aviso de certificado, podemos aún ser capaces de usar el sitio pero limitamos las ventajas de la tecnología HTTPS para salvaguardar nuestras comunicaciones. En ese caso, nuestro acceso al sitio puede no ser más seguro que hacerlo por HTTP.

Si encontramos un aviso de seguridad de certificado, debemos reportarlo por correo electrónico al administrador de la Web del sitio que estamos tratando de acceder, para animar al sitio a reparar el problema.

Si estamos usando un sitio HTTPS individual, como algunos tipos de proxis Web, podemos recibir un error de certificado porque el certificado es auto-firmado, lo que significa que no hay bases para que nuestro navegador determine si la comunicación está siendo interceptada. Para estos sitios, podemos no tener otra alternativa que aceptar el certificado auto-firmado. Sin embargo, podemos intentar confirmarlo por otra vía, como por correo electrónico o mensajería instantánea y chequear que es el que esperábamos, o ver si se ve igual usando una conexión de Internet diferente desde una computadora diferente.

Contenido mixto

Una página Web simple usualmente está hecha de muchos y diferentes elementos, que pueden venir de diferentes lugares y ser transferidos separadamente desde otro. Algunas veces un sitio usará HTTPS para algunos elementos de una página Web pero para otros usará HTTP inseguro. Por ejemplo, un sitio puede permitir solo http para acceder ciertas imágenes. Por ejemplo, en Febrero de 2011, el sitio seguro de Wikipedia presentaba este problema; aunque el texto de Wikipedia se podía cargar usando HTTPS, todas las imágenes se cargan usando http, de esta forma algunas imágenes pueden ser identificadas y bloqueadas, o usadas para determinar que páginas de Wikipedia el usuario está leyendo.

Redirección a la versión insegura HTTP de un sitio

Algunos sitios usan HTTPS de forma limitada y obligan a los usuarios a volver al HTTP inseguro incluso después que el usuario inicialmente usara el acceso HTTPS. Por ejemplo, algunos sitios usan HTTPS en las páginas de autenticación, pero en cuanto los usuarios entran su información de cuenta, vuelven a usar HTTP para el resto de las páginas. Este tipo de configuración deja a los usuarios vulnerables a la vigilancia. Debemos tener cuidado con esto, si nos vemos redirigidos a una página insegura mientras usamos un sitio, estaremos sin la protección de HTTPS.

Redes y firewalls bloqueando HTTPS

Por la forma en que HTTPS impide el monitoreo y bloqueo, algunas redes bloquean completamente el acceso por HTTPS de sitios particulares, o incluso bloquean el uso de HTTPS completamente. En este caso, estaremos limitados a usar accesos inseguros a esos sitios mientras estamos en esas redes. Podemos estar inhabilitados de acceder a un sitio porque nos ha sido bloqueado HTTPS. Si usamos HTTPS Eveywhere o algún programa similar, puede que no podamos usar algunos sitios porque este software no permite conexiones inseguras.

Si nuestra red bloquea HTTPS, podemos asumir que el operador de red puede ver y grabar todas nuestras actividades de navegación Web en la red. En este caso, quizás queramos explorar otras técnicas de evasión de censura, particularmente aquellas que brindan otras formas de cifrado, como proxis VPN y SSH.

Usando HTTPS desde una computadora insegura

HTTPS solo protege el contenido de nuestras comunicaciones mientras estas viajan por Internet. No protege nuestro ordenador, o nuestra pantalla o disco duro. Si el ordenador que usamos es compartido o inseguro de alguna otra forma, puede contener programas de monitoreo o espionaje, programas de censura que graban o bloquean palabras claves sensibles. En este caso, la protección que ofrece HTTPS puede ser menos que relevante, pues el monitoreo y la censura pueden suceder en nuestra propia computadora.

Vulnerabilidad del sistema de certificado de HTTPS

Existen problemas con el sistema de autoridad de certificación, llamado también infraestructura de llave pública (PKI por sus siglas en inglés) que se usa para autenticar conexiones HTTPS. Esto puede significar que un atacante sofisticado puede engañar nuestro navegador para que no muestre un aviso durante un ataque, si el atacante tiene el tipo de recurso indicado. Esto no es una razón para dejar de usar HTTPS, pues incluso en el peor de los casos, la conexión HTTPS no será más insegura que una conexión HTTP.