Publicado en Revista .Seguridad (http://revista.seguridad.unam.

mx)
Inicio > El Cifrado Web (SSL/TLS)

El Cifrado Web (SSL/TLS)

Por Dante Odn Ramrez Lpez, Carmina Cecilia Espinosa Madrigal

numero-10[1]candado [2]cifrado [3]encriptado [4]https [5] Tweet [6] Las pginas web deben contar con un proceso de cifrado, sobre todo en aquellos casos en los que se haga transferencia de informacin sensible, como en cuentas de banca en lnea. Es imporante tambin, en sitios como las redes sociales en los que se comparte mucha informacin personal.

Qu es SSL/TLS?
SSL (Secure Sockets Layer) traducido al espaol significa Capa de Conexiones Seguras. Es un protocolo que hace uso de certificados digitales para establecer comunicaciones seguras a travs de Internet. Recientemente ha sido sustituido por TLS (Transport Layer Security) el cual est basado en SSL y son totalmente compatibles. Te permite confiar informacin personal a sitios web, ya que tus datos se ocultan a travs de mtodos criptogrficos mientras navegas en sitios seguros. Es utilizado ampliamente en bancos, tiendas en lnea y cualquier tipo de servicio que requiera el envo de datos personales o contraseas. No todos los sitios web usan SSL, por eso debes ser cuidadoso.

Cmo funciona?
Antes de entender cmo funciona esta tecnologa, es necesario abordar algunos conceptos importantes y que forman parte del funcionamiento interno de SSL/TLS.

Cifrado, no Encriptado
El cifrado es el proceso que transforma tu informacin de manera que no cualquier usuario pueda entenderla, se realiza con base a un elemento nico conocido como llave, as nadie, excepto el poseedor puede leerla. El procedimiento inverso al cifrado es el descifrado. La palabra correcta para describir el proceso de ocultamiento de informacin es cifrado, usualmente encontrars literatura con el trmino encriptado, el cual es incorrecto.

Llave pblica y llave privada

Son un par de llaves digitales asociadas a una persona o entidad y generadas mediante mtodos criptogrficos. La llave pblica es usada para cifrar la informacin, haciendo una analoga, es como la llave utilizada para cerrar una puerta y mantener fuera a cualquier persona mientras que la llave privada se usa para descifrar, es decir, la llave que abre la puerta y slo la posee la persona autorizada, por lo tanto sta debe mantenerse en secreto.

Firma digital
Del mismo modo que tu firma autgrafa, es un elemento que te identifica y distingue de las dems personas y que al firmar con ella adquieres derechos y obligaciones. La firma digital se genera con base a la llave privada de quien firma y por lo tanto es nica.

Autoridad Certificadora (AC)

Una Autoridad Certificadora (AC, en ingls CA) es una entidad confiable que se encarga de garantizar que el poseedor de un certificado digital sea quien dice ser, bridando confianza a ambas partes de una comunicacin segura SSL/TLS.

Certificado Digital SSL/TLS

Es un documento digital nico que garantiza la vinculacin entre una persona o entidad con su llave pblica. Contiene informacin de su propietario como nombre, direccin, correo electrnico, organizacin a la que pertenece y su llave pblica, as como informacin propia del certificado por mencionar: periodo de validez, nmero de serie nico, nombre de la AC que emiti, firma digital de la AC cifrada con su llave privada y otros datos ms que indican cmo puede usarse ese certificado.

HTTPS
Simplemente es una combinacin del protocolo HTTP (usado en cada transaccin web) con el protocolo SSL/TLS usada para establecer comunicaciones cifradas en sitios web.

Funcionamiento
SSL/TLS es una tecnologa compleja, pero una vez entendidos los conceptos anteriores comprenders el funcionamiento de este protocolo de forma general. Usemos un ejemplo con el cual posiblemente ests familiarizado. Supongamos que intentas acceder al sitio de Facebook de forma segura, es decir, usando https en la direccin web. Inmediatamente, aparecer la pgina en pantalla y en alguna parte de tu navegador observars un candado, dependiendo del navegador que uses (Imagen 1). Si no viste ningn mensaje de advertencia (generalmente en tonos rojos), el protocolo SSL/TLS ha hecho su trabajo.

Imagen 1. Uso de protocolo HTTPS SSL/TLS funciona de forma transparente para ti, lo que en realidad ocurre cuando intentas acceder a un sitio seguro se asemeja al siguiente diagrama.

Diagrama 1. Funcionamiento general de SSL/TLS

Iniciando comunicacin segura

En el punto dos del Diagrama 1, cuando el navegador hace una peticin al sitio seguro de Facebook, ste enva un mensaje donde indica que quiere establecer una conexin segura y enva datos sobre la versin del protocolo SSL/TLS que soporta y otros parmetros necesarios para la conexin. En base a esta informacin enviada por el navegador, el servidor web de Facebook responde con un mensaje informando que est de acuerdo en establecer la conexin segura con los datos de SSL/TLS proporcionados.

Una vez que ambos conocen los parmetros de conexin, el sitio de Facebook presenta su certificado digital al navegador web para identificarse como un sitio confiable.

Verificacin de validez del certificado

Una vez que el navegador tiene el certificado del sitio web de Facebook, realiza algunas verificaciones antes de confiar en el sitio: Integridad del certificado: Verifica que el certificado se encuentre ntegro, esto lo hace descifrando la firma digital incluida en l mediante la llave pblica de la AC y comparndola con una firma del certificado generada en ese momento, si ambas son iguales entonces el certificado es vlido. Vigencia del certificado: Revisa el periodo de validez del certificado, es decir, la fecha de emisin y la fecha de expiracin incluidos en l. Verifica emisor del certificado: Hace uso de una lista de Certificados Raz almacenados en tu computadora y que contienen las llaves pblicas de las ACs conocidas y de confianza (Imagen 2). Puedes acceder a esta lista desde las opciones avanzadas de tu navegador web (en este caso usamos Google Chrome). Con base a esta lista, el navegador revisa que la AC del certificado sea de confianza, de no serlo, el navegador mostrar una advertencia indicando que el certificado fue emitido por una entidad en la cual no confa.

Imagen 2. Certificados raz

Estableciendo la conexin segura

Listo!, una vez que el certificado cumpli con todas las pruebas del navegador, se establece la

conexin segura al sitio de Facebook, lo cual se traduce en seguridad para tus valiosos datos personales.

Punto dbil de la tecnologa SSL/TLS

Es importante que ests consciente que pese acceder slo a sitios seguros, la tecnologa SSL/TLS no garantiza al 100% que tu informacin est segura; considera que, como toda creacin humana, tiene fallos. Los atacantes se han vuelto muy hbiles e ingeniosos para burlar estos mecanismos de seguridad. Por ello, debes tomar algunas medidas preventivas antes de realizar transacciones en lnea que puedan poner en riesgo tu informacin.

Caso real
Un caso real que ejemplifica el mal uso de esta tecnologa fue publicado en el artculo Troyano bancario secuestra conexiones SSL, el cual puedes consultar en http://www.seguridad.unam.mx/noticias/?noti=4419 [7]. En este artculo se detalla un troyano ( Trojan.Tatanarg) capaz de secuestrar conexiones SSL/TLS al momento de realizar transacciones bancarias en lnea. A grandes rasgos lo que hace este troyano es: Supongamos que deseas realizar una operacin bancaria en lnea. Al ingresar a la pgina web de tu banco, durante el proceso de conexin SSL/TLS, el banco enva a tu navegador su certificado y su llave pblica firmados, elementos que utilizar para cifrar la informacin a transmitir. El troyano se interpone entre el servidor del banco y tu navegador tomando la llave pblica y la informacin del certificado para cifrar su propio canal de comunicacin, mientras tanto, del lado del navegador el troyano inserta su certificado auto-firmado (certificado falso) de tal manera que el candadito de seguridad siempre est visible durante la conexin y as Cuando envas tu informacin al banco, sta es cifrada utilizando el certificado falso e interceptada por el mismo troyano, quien la manipula y transfiere al banco para que ste la procese.

Imagen 3. Ataque de troyano Trojan.Tatanarg Empleando el certificado falso, el troyano es capaz de descifrar y leer la informacin que compartas con el banco, posiblemente reenvindola a un atacante para que ste haga mal uso de ella, por ejemplo robando tu identidad.

Recomendaciones

Evita hacer uso de computadoras y redes pblicas, sobre todo si vas a utilizar el servicio de banca en lnea, realizar cualquier tipo de compra o transferir informacin valiosa para ti. Instala un antivirus y procura mantenerlo actualizado. Al final de este artculo se listan algunas soluciones gratuitas que pueden ayudarte. Es importante mantener actualizado tu navegador, ya que si no lo haces, eres ms susceptible a ataques. Consulta el sitio web oficial del navegador que elijas y obtn la versin ms reciente. Cuando utilices HTTPS, verifica la vigencia del certificado, esto lo puedes hacer observando en el periodo de validez del mismo (Imagen 4).

Imagen 4. Verificando vigencia del certificado Soluciones antivirus: AVG free [http://www.freeavg.com] avast! Free [http://www.avast.com/es-ww/free-antivirus-download] Avira AntiVir Personal - Free Antivirus [http://www.avira.com/es/avira-free-antivirus] Navegadores web:

Mozilla Firefox [http://www.mozilla-europe.org/es] Internet Explorer [http://windows.microsoft.com/es-ES/internet-explorer/products/ie/home] Google Chrome [http://www.google.com/chrome] Safari [http://www.apple.com/es/safari] Opera [http://www.opera.com] Referencias: http://www.symantec.com/connect/blogs/banking-proxy-trojantatanarg [8] http://h71028.www7.hp.com/PublicSector/cache/107893-0-0-140-470.html [9] http://curso-src.net/2_4.html [10] http://es.wikipedia.org/wiki/Criptografa [11] http://www.nxtgenug.net/Article.aspx?ArticleID=42 [12] http://hubpages.com/hub/SSL-For-Dummies-Understanding-What-it-all-Means [13] http://blog.securism.com/2009/01/summarizing-pki-certificate-validation/ [14] Dante Odn Ramrez Lpez [15] Carmina Cecilia Espinosa Madrigal [16] numero-10 candado cifrado encriptado https Universidad Nacional Autnoma de Mxico Universidad Nacional Autnoma de Mxico Directorio Direccin General de Cmputo y de Tecnologas de Informacin y Comunicacin Direccin General de Cmputo y de Tecnologas de Informacin y Comunicacin SSI / UNAMCERT SSI / UNAMCERT [ CONTACTO ] Se prohbe la reproduccin total o parcial de los artculos sin la autorizacin por escrito de los autores
URL del envo: http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls Enlaces: [1] http://revista.seguridad.unam.mx/category/revistas/numero-10-1 [2] http://revista.seguridad.unam.mx/category/tipo-de-articulo/candado [3] http://revista.seguridad.unam.mx/category/tipo-de-articulo/cifrado [4] http://revista.seguridad.unam.mx/category/tipo-de-articulo/encriptado [5] http://revista.seguridad.unam.mx/category/tipo-de-articulo/https

[6] http://twitter.com/share [7] http://www.seguridad.unam.mx/noticias/?noti=4419 [8] http://www.symantec.com/connect/blogs/banking-proxy-trojantatanarg [9] http://h71028.www7.hp.com/PublicSector/cache/107893-0-0-140-470.html [10] http://curso-src.net/2_4.html [11] http://es.wikipedia.org/wiki/Criptografa [12] http://www.nxtgenug.net/Article.aspx?ArticleID=42 [13] http://hubpages.com/hub/SSL-For-Dummies-Understanding-What-it-all-Means [14] http://blog.securism.com/2009/01/summarizing-pki-certificate-validation/ [15] http://revista.seguridad.unam.mx/autores/dante-od%C3%ADn-ram%C3%ADrez-l%C3%B3pez [16] http://revista.seguridad.unam.mx/autores/carmina-cecilia-espinosa-madrigal