21

3

16

Todo lo que deberías saber acerca de SSL/TLS

El incremento de los ciberataques y el empecinamiento de los gobiernos en vigilar a los ciudadanos han disparado la preocupación en torno a la seguridad y privacidad en la red. Entidades como Mozilla llevan tiempo intentando impulsar HTTPS frente a la no utilización de cifrado, una política que también ha llevado contra la candidata Demócrata para la Casa Blanca Hilary Clinton.

También otros gigantes como Google, Facebook y Microsoft han dado grandes pasos para impulsar la utilización de SSL/TLS para cifrar las conexiones con los sitios web, algo que se identifica cuando el usuario ve HTTPS en la parte delantera de la URL, en lugar de HTTP

La impulsación por la utilización de SSL/TLS para cifrar las conexiones con los sitios webs, es una realidad por el incremento de los ciberataques

 ¿Qué es SSL/TLS?

Aunque se suelen mencionar juntos, en realidad SSL y TLS son dos protocolos de cifrado, siendo el segundo el sucesor del primero. SSL fue desarrollado en los 90 del siglo pasado por Netscape, con el fin de asegurar la autenticidad de los sitios web y permitir que los datos fuesen intercambiados de manera segura entre el cliente y el servidor, creando una conexión cifrada utilizando una clave de cifrado pública.

Como ya hemos comentado, SSL y TLS no son lo mismo, y de hecho hoy en día muchas librerías de criptografía ya inhabilitan SSL por defecto, como ya comentamos en el ataque DROWN. Sin embargo, SSL es empleado todavía debido a que es el soportado por muchos clientes que utilizan software antiguo.

 ¿Por qué es importante?

 El problema de las conexiones HTTP, es que los datos transmitidos pueden ser interceptados por hackers. Esto no es especialmente grave en un sitio web de noticias y otros lugares donde no se manejen datos sensibles, sin embargo, todo cambia cuando hablamos de una red social, un foro importante donde haya personalidades públicas y sobre todo bancos y tiendas online. En estos casos muchas veces se almacena datos sensibles de los usuarios, como su dirección postal o su tarjeta de crédito. Estos factores convierten la privacidad en un factor crítico.

Por eso es bueno comprobar antes de comprar o utilizar un servicio bancario si el sitio web utiliza SSL/TLS, es decir, HTTPS, antes de introducir datos sensibles.

¿Es difícil de configurar?

Por lo que se sabe, SSL/TLS es difícil de implementar, sobre todo en sitio web grandes.  Hay  organizaciones conocidas como Autoridades Certificadoras que venden diferentes tipos de certificados digitales utilizados para autenticar sitios web. Dependiendo del tipo de certificado, la Autoridad Certificadora verificará que la petición de entidad es legítima para proteger contra los sitios fraudulentos. Pero los certificados pueden ser caros, y los críticos comentan que los costes y la complejidad a la hora de implementarlos pueden ahuyentar a muchos de utilizarlos. Los certificados también expiran, así que es importante que los administradores de IT conozcan la fecha de caducidad para saber cuando toca renovarlos.

Debido a esto existen personas que critican el impulso de HTTPS, no porque estén en contra de las conexiones cifradas y la protección de la privacidad, sino porque el aumento de los costes que supone la utilización de SSL/TLS podría provocar la desaparición muchos sitios web que siguen en pie con la intención de que se mantenga como un medio barato, ya sea porque fueron creados como un hobby o bien por ser el sitio web “plano” y sencillo de una pequeña empresa que no dispone de un gran presupuesto para su mantenimiento.

Es por ello que, el año pasado, distintas entidades releventes en el rubro, entre ellas nuestro partner Cisco, con el fin de subsanar el problema de los costes añadidos por la utilización de SSL/TLS, lanzaron la iniciativa del  Let’s Encrypt, el cual estaba destinado a ofrecer cifrados gratuitos para las web’s.                                                                                  

¿Qué se está haciendo con los problemas?

Los bugs en SSL/TLS, así como en el software que los emplea, son parcheados en el mismo momento de ser descubiertos, aunque puede haber problemas que se resisten como el Heartbleed, cuya complejidad requiere de más tiempo de trabajo. Tampoco existen reemplazos realmente viables para todo el sistema cuando se llega a ese extremo.

Cambiarlo todo requeriría de un acuerdo entre toda la industria, algo poco probable a corto plazo. Por ahora la protección a través de claves privadas SSL/TLS es probablemente la tarea más importante, algo que puede ser reforzado con la utilización de modulos de hardware de seguridad para la gestión de las claves digitales.

¿Cuáles son las amenazas de interceptación?

Dentro de las amenazas de interceptación más conocidas, está  FREAK por las siglas de "Factoring Attack on RSA- Export Keys”, asi como las vulnerabilidades Heartbleed, Poodle o Goto fail entre otras que derivan hacia la amenaza MITM “man in the middle”.

¿Quieres ampliar tus conocimientos de seguridad para evitar las vulnerabilidades de SSL/TLS?

Contáctanos aquí: ventas@securesoft.com.pe  Te ayudaremos a evitar estas amenazas.

 

Compartir noticia:

Noticias Recientes

1

5

17

POLÍTICA DEL SGI

31

1

17

CHECK POINT designa a SECURE SOFT como canal “4 ESTRELLAS” en Perú y Ecuador.

16

12

16

SECURE SOFT inauguró un nuevo Cyber Security Operation Center (Cyber SOC) en la Región

30

11

16

Primer congreso Tecnológico para las CAJAS MUNICIPALES