Documentos de Académico
Documentos de Profesional
Documentos de Cultura
mx)
Inicio > El Cifrado Web (SSL/TLS)
numero-10[1]candado [2]cifrado [3]encriptado [4]https [5] Tweet [6] Las pginas web deben contar con un proceso de cifrado, sobre todo en aquellos casos en los que se haga transferencia de informacin sensible, como en cuentas de banca en lnea. Es imporante tambin, en sitios como las redes sociales en los que se comparte mucha informacin personal.
Qu es SSL/TLS?
SSL (Secure Sockets Layer) traducido al espaol significa Capa de Conexiones Seguras. Es un protocolo que hace uso de certificados digitales para establecer comunicaciones seguras a travs de Internet. Recientemente ha sido sustituido por TLS (Transport Layer Security) el cual est basado en SSL y son totalmente compatibles. Te permite confiar informacin personal a sitios web, ya que tus datos se ocultan a travs de mtodos criptogrficos mientras navegas en sitios seguros. Es utilizado ampliamente en bancos, tiendas en lnea y cualquier tipo de servicio que requiera el envo de datos personales o contraseas. No todos los sitios web usan SSL, por eso debes ser cuidadoso.
Cmo funciona?
Antes de entender cmo funciona esta tecnologa, es necesario abordar algunos conceptos importantes y que forman parte del funcionamiento interno de SSL/TLS.
Cifrado, no Encriptado
El cifrado es el proceso que transforma tu informacin de manera que no cualquier usuario pueda entenderla, se realiza con base a un elemento nico conocido como llave, as nadie, excepto el poseedor puede leerla. El procedimiento inverso al cifrado es el descifrado. La palabra correcta para describir el proceso de ocultamiento de informacin es cifrado, usualmente encontrars literatura con el trmino encriptado, el cual es incorrecto.
Son un par de llaves digitales asociadas a una persona o entidad y generadas mediante mtodos criptogrficos. La llave pblica es usada para cifrar la informacin, haciendo una analoga, es como la llave utilizada para cerrar una puerta y mantener fuera a cualquier persona mientras que la llave privada se usa para descifrar, es decir, la llave que abre la puerta y slo la posee la persona autorizada, por lo tanto sta debe mantenerse en secreto.
Firma digital
Del mismo modo que tu firma autgrafa, es un elemento que te identifica y distingue de las dems personas y que al firmar con ella adquieres derechos y obligaciones. La firma digital se genera con base a la llave privada de quien firma y por lo tanto es nica.
HTTPS
Simplemente es una combinacin del protocolo HTTP (usado en cada transaccin web) con el protocolo SSL/TLS usada para establecer comunicaciones cifradas en sitios web.
Funcionamiento
SSL/TLS es una tecnologa compleja, pero una vez entendidos los conceptos anteriores comprenders el funcionamiento de este protocolo de forma general. Usemos un ejemplo con el cual posiblemente ests familiarizado. Supongamos que intentas acceder al sitio de Facebook de forma segura, es decir, usando https en la direccin web. Inmediatamente, aparecer la pgina en pantalla y en alguna parte de tu navegador observars un candado, dependiendo del navegador que uses (Imagen 1). Si no viste ningn mensaje de advertencia (generalmente en tonos rojos), el protocolo SSL/TLS ha hecho su trabajo.
Imagen 1. Uso de protocolo HTTPS SSL/TLS funciona de forma transparente para ti, lo que en realidad ocurre cuando intentas acceder a un sitio seguro se asemeja al siguiente diagrama.
Una vez que ambos conocen los parmetros de conexin, el sitio de Facebook presenta su certificado digital al navegador web para identificarse como un sitio confiable.
conexin segura al sitio de Facebook, lo cual se traduce en seguridad para tus valiosos datos personales.
Caso real
Un caso real que ejemplifica el mal uso de esta tecnologa fue publicado en el artculo Troyano bancario secuestra conexiones SSL, el cual puedes consultar en http://www.seguridad.unam.mx/noticias/?noti=4419 [7]. En este artculo se detalla un troyano ( Trojan.Tatanarg) capaz de secuestrar conexiones SSL/TLS al momento de realizar transacciones bancarias en lnea. A grandes rasgos lo que hace este troyano es: Supongamos que deseas realizar una operacin bancaria en lnea. Al ingresar a la pgina web de tu banco, durante el proceso de conexin SSL/TLS, el banco enva a tu navegador su certificado y su llave pblica firmados, elementos que utilizar para cifrar la informacin a transmitir. El troyano se interpone entre el servidor del banco y tu navegador tomando la llave pblica y la informacin del certificado para cifrar su propio canal de comunicacin, mientras tanto, del lado del navegador el troyano inserta su certificado auto-firmado (certificado falso) de tal manera que el candadito de seguridad siempre est visible durante la conexin y as Cuando envas tu informacin al banco, sta es cifrada utilizando el certificado falso e interceptada por el mismo troyano, quien la manipula y transfiere al banco para que ste la procese.
Imagen 3. Ataque de troyano Trojan.Tatanarg Empleando el certificado falso, el troyano es capaz de descifrar y leer la informacin que compartas con el banco, posiblemente reenvindola a un atacante para que ste haga mal uso de ella, por ejemplo robando tu identidad.
Recomendaciones
Evita hacer uso de computadoras y redes pblicas, sobre todo si vas a utilizar el servicio de banca en lnea, realizar cualquier tipo de compra o transferir informacin valiosa para ti. Instala un antivirus y procura mantenerlo actualizado. Al final de este artculo se listan algunas soluciones gratuitas que pueden ayudarte. Es importante mantener actualizado tu navegador, ya que si no lo haces, eres ms susceptible a ataques. Consulta el sitio web oficial del navegador que elijas y obtn la versin ms reciente. Cuando utilices HTTPS, verifica la vigencia del certificado, esto lo puedes hacer observando en el periodo de validez del mismo (Imagen 4).
Imagen 4. Verificando vigencia del certificado Soluciones antivirus: AVG free [http://www.freeavg.com] avast! Free [http://www.avast.com/es-ww/free-antivirus-download] Avira AntiVir Personal - Free Antivirus [http://www.avira.com/es/avira-free-antivirus] Navegadores web:
Mozilla Firefox [http://www.mozilla-europe.org/es] Internet Explorer [http://windows.microsoft.com/es-ES/internet-explorer/products/ie/home] Google Chrome [http://www.google.com/chrome] Safari [http://www.apple.com/es/safari] Opera [http://www.opera.com] Referencias: http://www.symantec.com/connect/blogs/banking-proxy-trojantatanarg [8] http://h71028.www7.hp.com/PublicSector/cache/107893-0-0-140-470.html [9] http://curso-src.net/2_4.html [10] http://es.wikipedia.org/wiki/Criptografa [11] http://www.nxtgenug.net/Article.aspx?ArticleID=42 [12] http://hubpages.com/hub/SSL-For-Dummies-Understanding-What-it-all-Means [13] http://blog.securism.com/2009/01/summarizing-pki-certificate-validation/ [14] Dante Odn Ramrez Lpez [15] Carmina Cecilia Espinosa Madrigal [16] numero-10 candado cifrado encriptado https Universidad Nacional Autnoma de Mxico Universidad Nacional Autnoma de Mxico Directorio Direccin General de Cmputo y de Tecnologas de Informacin y Comunicacin Direccin General de Cmputo y de Tecnologas de Informacin y Comunicacin SSI / UNAMCERT SSI / UNAMCERT [ CONTACTO ] Se prohbe la reproduccin total o parcial de los artculos sin la autorizacin por escrito de los autores
URL del envo: http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls Enlaces: [1] http://revista.seguridad.unam.mx/category/revistas/numero-10-1 [2] http://revista.seguridad.unam.mx/category/tipo-de-articulo/candado [3] http://revista.seguridad.unam.mx/category/tipo-de-articulo/cifrado [4] http://revista.seguridad.unam.mx/category/tipo-de-articulo/encriptado [5] http://revista.seguridad.unam.mx/category/tipo-de-articulo/https
[6] http://twitter.com/share [7] http://www.seguridad.unam.mx/noticias/?noti=4419 [8] http://www.symantec.com/connect/blogs/banking-proxy-trojantatanarg [9] http://h71028.www7.hp.com/PublicSector/cache/107893-0-0-140-470.html [10] http://curso-src.net/2_4.html [11] http://es.wikipedia.org/wiki/Criptografa [12] http://www.nxtgenug.net/Article.aspx?ArticleID=42 [13] http://hubpages.com/hub/SSL-For-Dummies-Understanding-What-it-all-Means [14] http://blog.securism.com/2009/01/summarizing-pki-certificate-validation/ [15] http://revista.seguridad.unam.mx/autores/dante-od%C3%ADn-ram%C3%ADrez-l%C3%B3pez [16] http://revista.seguridad.unam.mx/autores/carmina-cecilia-espinosa-madrigal