Firesheep es una interesante herramienta cuya labor es husmear y robarse las cookies y los datos de acceso (usuario y contraseña) de los sitios web más populares (como Facebook y Twitter) a partir de las sesiones de navegación de los demás usuarios que estén conectados a través de la misma conexión Wi-Fi.
Firesheep es una extensión de prueba de concepto de Firefox creado por Eric Butler para mostrar cómo se puede evadir fácilmente la seguridad de muchos sitios web populares como Facebook, Flickr, Amazon.com, Dropbox, Evernote, Twitter y más.
El problema, como Firesheep sorprendentemente demuestra, es que muchos sitios web sólo cifran sus datos de acceso. Una vez que ya has iniciado sesión usan una conexión no segura con un simple chequeo de cookies. Cualquier persona con esa dirección IP (la misma del punto de acceso Wi-Fi) y con la cookie puede hacerse pasar por ti. Si utilizas Firesheep a través de una conexión Wi-Fi pública (por ejemplo en un aeropuerto, universidad o restaurant) cualquier sesión puede ser interceptada en el panel de Firesheep con el nombre del usuario y su fotografía (si está disponible). Simplemente haga clic en su nombre para interceptar la sesión y comenzarás a navegar por la página web como si fueras esa persona.
¿Qué puedes hacer para protegerte contra un ataque tan fácil contra tu privacidad y seguridad? Puedes configurar un servidor proxy SOCKS SSH para encriptar tu tráfico, para el envío de sus sesiones de sitio y acompañando las cookies a través de un túnel a prueba de sniffers. Otra manera más simple de hacerlo es usando la extensión Everywhere Firefox o Force-TLS. En esencia, estas extensiones obligan los sitios más populares a enviar tus datos a través del protocolo seguro HTTPS, que encripta los datos enviados, y aunque es un poco más lento, definitivamente vale la pena utilizar HTTPS cuando esté disponible.
Firesheep es gratuito, funciona con Firefox, y requiere una tarjeta de red inalámbrica capaz de funcionar en modo promiscuo.
Puedes descargar Firesheep aquí, aunque te recomiendo que lo uses sólo para fines educativos, no lo uses para robar la contraseña de Facebook de tu novi@.
