Como muchos de vosotros ya sabréis, los navegadores Web, te permiten la navegación segura por los sitios Web compatibles. Estas Webs seguras básicamente lo que realizan es la encriptación de una serie de datos que intercambian, entre el usuario y el sitio Web en cuestión con el objetivo de que si otro usuario intentan interceptar el intercambio, lo único que recibirá será información cifrada imposible de entender.
El problema es que no todos los sitios Web cuentan con un cifrado o medios de seguridad suficiente, por eso los navegadores Web cuentan con un cifrado conocido como RC4 o sistema de cifrado de flujo Stream cipher que actuará de manera predeterminada como un cifrado accesorio en segundo plano en el caso de que el cifrado primario haya fallado o bien en los sitios Web de una lista blanca.
No obstante esto no significa que estemos seguros, ya que ha sido demostrado que el cifrado RC4 cuenta con algún que otro fallo que puede ser aprovechado por cualquiera para hacerse con la información que se intercambia con los sitios Web. Esto hace que nos planteemos si el remedio es peor que la enfermedad. Es por eso que muchos usuarios deciden desactivar este cifrado con el objetivo de no ofrecer a los hackers un agujero de seguridad por el que conseguir la información.
A continuación te mostramos los pasos a llevar a cabo en el caso de que deseas desactivar el protocolo de cifrado RC4 tanto de tu navegador Firerox como de tu navegador Chrome:
- Como desactivar el cifrado RC4 en Firefox:
Lo primero de todo será acceder a tu navegador Mocilla Firefox y una vez dentro deberás escribir el comando about:config en la barra de direcciones URL. Pulsa la tecla Intro lo que llevará a la página de configuración profunda del navegador.
Antes de acceder a la configuración, deberás aceptar un mensaje de advertencia sobre las consecuencias que puede conllevar la modificación de algunos de los parámetros.
En el campo de búsqueda, introduce la palabra RC4. Esto provocará que se filtre la lista de opciones disponibles en la ventana y que solo se muestre las relacionadas con el cifrado RC4.
Ahora deberás configurar cada una de las siguientes opciones como Falso. Para ello solo tendrás que hacer doble clic con el botón izquierdo del ratón:
- security.ssl3.ecdhe_ecdsa_rc4_128_sha
- security.ssl3.ecdhe_rsa_rc4_128_sha
- security.ssl3.rsa_rc4_128_md5
- security.ssl3.rsa_rc4_128_sha
Por último, solo tendrás que reiniciar tu navegador, o bien cerrarlo y volverlo abrir. A partir de ahora el navegador no utilizará el cifrado RC4
Nota importante: Cuando deshabilites todo el cifrado RC4 puede que algunos sitios Web que cuenten con ciertas medidas de seguridad como por ejemplo de cifrado, puede que no funcionen a partir de dicha desactivación. Si necesitas acceder a dicho sitio, solo tendrás que invertir la configuración realizada de manera puntual para los sitios que están inaccesible.
- Como desactivar el cifrado RC4 en Chrome:
La desactivación de RC4 en el navegador Google Chrome no es tan sencillo por lo que habrá que realizar varias configuración para finalmente poder desactivar el cifrado RC4. Lo primero que tendremos que hacer será hacer clic con el botón derecho del ratón sobre el acceso directo del navegador Google Chrome.
Esto provocará que se muestre un menú con varias opciones entre las que deberemos seleccionar Propiedades. Esto a su vez hará que se abra una ventana en la que tendremos que situarnos en la pestaña Acceso Directo.
Aquí deberemos modificar la sección Destino quedando el comando como C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
Nota Importante: La dirección Destino puede variar en función de la ubicación en la que esté instalada el navegador Web Google Chrome.
Por último tendrás que hacer clic en el botón aplicar y aceptar par que los cambios se lleve a cabo. Realmente lo que harás serás añadir el cifrado RC4 a una lista negra lo que impedirá su apertura y ejecución.
Truco: Si antes de deshabilitar el cifrado RC4 quieres comprobar si tu navegador es vulnerable, podrás comprobarlo a través de la siguiente Web: dropping RC4. Aquí podrás ver si existe alguna vulnerabilidad al mostrarse los diferentes agujeros en color rojo. Esta Web también se puede utilizar para comprobar que la des-habilitación se ha realizado correctamente, ya que si al intentar acceder a dicho sitios Web, recibes un error, significa que el cifrado RC4 está totalmente deshabilitado.
