Si las contraseñas pueden ser robadas en Wifi abierto, depende si la contraseña se transmite en primer lugar y luego si los datos se transmiten de forma clara.
¿Los datos se transmiten en claro?
Si usa https en lugar de http para todos los datos (como en el caso de gmail), los datos no se transmiten de forma clara. Esto significa que es poco probable que un atacante pueda acceder al tráfico normal, aunque un sistema inseguro abierto a ataques MITM (como tener el instalado de la clave super-de-la-pez-de-la-super-pez-tan-fácil-extraíble") o un usuario que ignora ciegamente las advertencias de los certificados puede llevar a un hombre exitoso en el ataque central y por lo tanto, a la interceptación de tráfico no cifrado.
Tenga en cuenta también que todo el tráfico importante debe estar protegido con https. Esto no solo incluye la página principal sino también cualquier secuencia de comandos incrustada o CSS. Afortunadamente, los navegadores modernos simplemente bloquean el contenido mixto inseguro de manera predeterminada, es decir, no carguen Javascript a través de http si está incluido en una página https.
¿Se envía la contraseña a todos?
La mayoría de las aplicaciones de hoy en día tienen un cuadro de diálogo de inicio de sesión separado que solicita la contraseña una vez por sesión y luego solo transfiere el estado del usuario específico (es decir, que haya iniciado sesión o no y otra información) mediante un ID de sesión. En este caso, la contraseña no se puede rastrear fácilmente ya que no se transmite en primer lugar. Pero, en muchos casos, la ID de la sesión es tan valiosa como la contraseña en sí misma y le permite a un atacante hacerse pasar por el usuario, incluso si la contraseña en sí es desconocida por el atacante.
Y, si el atacante puede detectar el tráfico (es decir, no https pero solo http), a menudo también puede modificar el tráfico. Esto significa que el atacante podría modificarlo de tal manera que la sesión actual se invalide y las aplicaciones web le soliciten nuevamente la contraseña. Si el llenado automático de contraseñas está habilitado, esto podría hacerse incluso sin que el usuario lo note (depende del navegador).
Y luego hay algunos sitios que no usan su propia página de inicio de sesión, sino que usan la autenticación básica en los navegadores. En este caso, el nombre de usuario y la contraseña se transmiten dentro del encabezado de solicitud HTTP para cada solicitud y se pueden extraer fácilmente si la conexión no está protegida.
¿Puedo ahorrar si no visito el sitio cuando utilizo un Wifi abierto?
No, no lo eres. Si el atacante puede modificar algo de tráfico, puede engañar a su navegador para que visite cualquier sitio que desee y, de este modo, obtenga acceso a cualquier contraseña o ID de sesión que se transmita de forma clara. Y si se hace con inteligencia, es posible que ni siquiera lo note. Ver, por ejemplo, PoisonTap para saber cómo extraer rápidamente la información de un navegador. Si bien este ataque específico utiliza Ethernet a través de USB, se puede hacer de la misma manera dentro de un Wifi controlado por un atacante (que podría ser cualquier Wifi abierto).
Además, es posible que se realicen ataques más complejos, como contaminar el caché de los navegadores, lo que podría hacer que el atacante controle parte de su navegación, incluso si ya no está conectado al Wifi abierto.
¿Qué puedo hacer para protegerme?
No uses Wifi abierto en absoluto.
También puede utilizar una VPN, pero asegúrese de que la VPN esté activa desde el principio. Esto podría no ser posible en todos los casos, ya que muchos Wifi abiertos requieren reconocer primero sus términos de servicio. Los sistemas móviles como Android a menudo detectan dichos portales cautivos y manejan esto por usted abriendo la página cautiva en un navegador independiente, pero en los escritorios usted generalmente está solo. Además, algunos wifi abiertos simplemente bloquean el tráfico VPN.