1

Seguridad en la web.

Vulnerabilidades de seguridad en el protocolo HTTPS en la UNAD

RicharJ.BettinMorales
ProyectoDeGrado(Ing.DeSistemas)
UniversidadNacionalAbiertaYADistanciaUNAD.
Resumen: La seguridad en la red se ha convertido en un reto tanto para usuarios como para
las personas y empresas encargadas de mantener y proteger la informacin de millones de
usuarios que acceden a sitios web pblicos y privados, para este caso se har nfasis en la
nueva tecnologa de seguridad que ofrece el protocolo HTPPS. Donde se determinaran
hasta donde llega el nivel de seguridad que ofrece en cuanto a su antecesor el protocolo
HTPP. El objetivo de esta investigacin es determinar el nivel de seguridad que puede
ofrecer la plataforma de la UNAD si se decide implementar este protocolo de seguridad.
Introduccin.
Bajo la hiptesis de plantear problemticas reales de seguridad web, en escenarios
virtuales ofrecidos por la plataforma implementada en la Universidad Nacional Abierta y a
Distancia UNAD. Se pretende medir el alcance de este nuevo modelo de seguridad web que
ofrece el protocolo HTPPS. La implementacin de este nuevo protocolo de seguridad web
se decide bajo la tesis de mantener un nivel de seguridad ptimo que garantice la
informacin de los miles de estudiantes de la UNAD puesto que esta plataforma, al igual
que otras puede ser atacada en cualquier momento, desde cualquier lugar.
Palabras claves.
Protocolo, HTPP,
Vulnerabilidad,

HTPPS,

Seguridad

web,

Informacin,

Cifrado,

Plataforma,

Antecedentes
Muchas veces los usuarios no perciben que estn siendo atacados y pueden ser vctima
con solo dar un clic o actualizar cualquier software o aplicacin en sus equipos o re
direccionando a pginas no reales
Las pginas de registro y de inicio de sesin son el principal foco de peligro, y por defecto,
cargarn con el protocolo HTTP, la informacin que se intercambia entre el ordenador y el

2
servidor de un servicio web puede ser interceptada por una tercera persona si se enva bajo
el protocolo HTTP:
El punto ms dbil de HTTPS son los certificados. Si, por ejemplo, alguien roba el
certificado (con la clave privada) de Google, podra crear un servidor falso sin que hubiese
forma de distinguirlo de uno legtimo.i
Normalmente, cuando navegamos por internet lo hacemos utilizando el protocolo HTTP,
que simplemente establece unas directrices acerca de cmo se va a comunicar nuestro
ordenador (cliente) con un servidor (por ejemplo, el ordenador donde est alojada la pgina
de Genbeta). Establece cmo se transfieren los datos, y en este caso, los datos se transfieren
sin ninguna modificacin, segn los ests viendo ahora mismo.ii

Propsito u objetivo del estudio

HTTPS es el protocolo de seguridad de facto para los buscadores web, sin embargo,
incidentes de seguridad reportados ampliamente como DigiNotar, #gotofail de Apple,
Heartbleed de OPENSSL entre otros, han evidenciado importantes vulnerabilidades de este
protocolo. La idea de esta propuesta es ahondar en las vulnerabilidades del protocolo
HTTPS para proponer estrategias para mejorar el gobierno de HTTPS con el propsito de
mitigar los riesgos de seguridad en implementaciones sobre la web.
La UNAD posee enlaces que conectan diversas redes, siendo estos enlaces caminos de
conexin a redes privadas internas y redes pblicas como el internet, ofreciendo facilidades
de comunicacin interna con sus clientes. Entendiendo entonces que la seguridad de la
informacin va ms all de la intervencin de los protocolos en s mismos, el HTTPS
(Hypertext Transfer Protocol Secure), o Protocolo seguro de transferencia de hipertexto en
espaol, se destina a la transferencia segura de datos, o sea la versin segura del HTTP.iii
Teniendo en cuenta que el problema a solucionar son las Vulnerabilidades de seguridad en
el protocolo HTTPS en la UNAD, entonces extraemos dos variables as: 1. las
vulnerabilidades de seguridad del protocolo HTTPS y 2. Su impacto en la pgina web de la
universidad. Las causas antes planteadas dan sustento al planteamiento del problema ya que
cuando navegamos por internet lo hacemos utilizando el protocolo HTTP, y adems
teniendo en cuenta los sntomas ya que muchas veces los usuarios no perciben que estn
siendo atacados y pueden ser vctima con solo dar un clic, se da el siguiente planteamiento
al problema. Los estudiantes de la UNAD, podemos tener problemas de seguridad al
ingresar a la pgina de la universidad usando el protocolo HTTPS., la importancia de este
problema radica en la vulnerabilidad de nuestra informacin durante transferencia de
hipertexto en espaol, donde se destina la transferencia segura de datos, teniendo en cuenta
que la UNAD tiene una buena cantidad de estudiantes se hace necesario buscar una ptima
solucin al problema ya que esto dara confianza en la institucin. iv

Lmites del estudio

Con el protocolo HTTPS podemos hacer dos cosas:
Verificar nuestra identidad: Si un mensaje (o parte) lo ciframos con nuestro cdigo secreto,
cualquier persona ser capaz de leerlo, pero nadie ms habr sido capaz de crearlo
(necesitaran nuestra clave ultra secreta).
Evitar mirones: Si se envia un mensaje, se usa el cdigo pblico para cifrarlo y se cuelga
por ejemplo en un tabln de anuncios (o en un comentario). De esta forma slo quien tenga
el cdigo secreto ser capaz de leerlo.
Implementar complementos al protocolo https o medio como: v
OTR: Off-the-Record Messaging" permite comunicarse de forma segura y privada a travs
de mensajera instantnea. Proporciona tanto el cifrado de los mensajes como el anonimato
de los participantes
PGP: El sistema de cifrado PGP (Pretty Good Privacy) es un paquete de software de
cifrado, firmay autenticacin. Creado por Phil Zimmerman hace ms de veinte aos,
contina desarrollndose y existen varias versiones disponibles hoy. El ms utilizado es
GNU Privacy Guard (GnuPG). An hoy, parece ser el sistema ms resistente a los ataques.
Definicindelostrminos

Ataque informtico: Es un intento organizado e intencionado causada por una o ms

personas para causar dao o problemas a un sistema informtico o redvi
Certificado digital: Es el nico medio que permite garantizar tcnica y legalmente la
identidad de una persona en Internet. Se trata de un requisito indispensable para que las
instituciones puedan ofrecer servicios seguros a travs de Internet.vii
Cliente: Es un individuo, sujeto o entidad que accede a recursos, productos o servicios
brindados por otra.viii
HTTP: HyperText Transfer Protocol (Protocolo de transferencia de hipertexto) es el mtodo
ms comn de intercambio de informacin en la world wide web, el mtodo mediante el
cual se transfieren las pginas web a un ordenador.ix
HTTPS: Protocolo de Transferencia de Hiper-Texto (HTTPS) es la versin segura del http
(Hyper Text Transfer Protocool).x
Navegador: Es un programa que permite visualizar pginas web en la red adems de
acceder a otros recursos, documentos almacenados y guardar informacin.xi

4
Protocolo: Es un mtodo estndar que permite la comunicacin entre procesos, es decir, es
un conjunto de reglas y procedimientos que deben respetarse para el envo y la recepcin de
datos a travs de una red.xii
Seguridad: Se refiere a las caractersticas y condiciones de sistemas de procesamiento de
datos y su almacenamiento, para garantizar su confidencialidad, integridad y
disponibilidad.xiii
Servidor: Es un ordenador o mquina informtica que est al servicio de otras mquinas,
ordenadores o personas llamadas clientes y que le suministran a estos, todo tipo de
informacinxiv
Software: Son los programas informticos que hacen posible la realizacin de tareas
especficas dentro de un computadorxv
SSL: (capa de sockets seguros) son una pieza esencial de la seguridad de los sitios web. Al
visitar un sitio web con SSL, el certificado SSL del sitio web permite cifrar los datos que se
envan, de modo que ningn hacker pueda acceder a ellosxvi
Trfico web: Es la cantidad total datos generados por tus visitantes. Depende tanto del
contenido de tu pgina (textos, imgenes y otros archivos), como del nmero de visitasxvii
Vulnerabilidad: Es el grado de prdida de un elemento o grupo de elementos bajo riesgo,
resultado de la probable ocurrencia de un suceso desastroso expresada en una escala.xviii

Supuestos y expectativas del tema

El protocolo HTTPS enva la informacin cifrada, resultando prcticamente imposible
que nadie pueda saber qu datos se estn intercambiando entre tu ordenador y un servidor.xix
El envo de datos mediante el protocolo HTTPS est asegurado mediante el protocolo de
seguridad de la capa de transporte (TLS), que proporciona las tres capas clave de seguridad
siguientes:
Cifrado: se cifran los datos intercambiados para mantenerlos a salvo de miradas indiscretas.
Ello significa que cuando un usuario est navegando por un sitio web, nadie puede
"escuchar" sus conversaciones, hacer un seguimiento de sus actividades por las diferentes
pginas ni robarle informacin.
Integridad de los datos: los datos no pueden modificarse ni daarse durante las
transferencias, ni de forma intencionada ni de otros modos, sin que esto se detecte.
Autenticacin: garantiza que tus usuarios se comuniquen con el sitio web previsto.
Proporciona proteccin frente a los ataques "man-in-the-middle" y contribuye a la
confianza de los usuarios, lo que se traduce en otros beneficios empresariales.xx

Importancia del estudio

La funcin del protocolo HTTPS, que usa SSL, es verificar nuestra identidad y
seguridad en la web, es decir, conectarnos de manera segura y privada a cualquier web que
use este protocolo. La conexin HTTPS y su cifrado SSL son sin duda alguna una de las
maneras ms seguras que tenemos para conectarnos a la webxxi
Se da este (equvoco) nombre a los servidores WWW capaces de hablar HTTP sobre SSL,
i.e., HTTPS, El software servidor HTTP (habitualmente Apache) posee una extensin o
mdulo que lo capacita para hablar SSL (Apache-SSL), El protocolo HTTPS se vincula
habitualmente al puerto 443, Adems de un servidor Web capacitado para SSL, el servidor
debe poseer un certificado de su clave pblica, extendido por una autoridad de
certificacinxxii
As entonces se propone la asignacin de la mayor seguridad posible, con conexin a
Internet bajo protocolo WPA2-AES-PSK con contrasea larga y evaluar opciones de
conexin Enterprise y EAP. Para la navegacin web, se recomienda la correcta
configuracin del protocolo SSL en su pgina web y el uso de Firewall o barreras
cortafuegos como medidas adicionales para puntos de conexin en transacciones y
comunicacin con clientes clave.
Lo ms relevante para comenzar con un proyecto de seguridad de red, es la implementacin
de una Poltica de Seguridad, abarcando aspectos tcnicos y administrativos, Una PSI
(Poltica de Seguridad Informtica) deber abarcar: xxiii

Alcance de la poltica, incluyendo sistemas y personal sobre el cual se aplica.

Objetivos de la poltica y descripcin clara de los elementos involucrados en su
definicin.
Responsabilidad de cada uno de los servicios, recurso y responsables en todos los
niveles de la organizacin.
Responsabilidades de los usuarios con respecto a la informacin que generan y a la que
tienen acceso.
Requerimientos mnimos para la configuracin de la seguridad de los sistemas al
alcance de la poltica.
Definicin de violaciones y las consecuencias del no cumplimiento de la poltica.
Especificacin de que autoridad debe hacer que las cosas ocurran, el rango de los
correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones
que se puedan imponer. Pero, no debe especificar con exactitud qu pasara o cundo
algo suceder; ya que no es una sentencia obligatoria de la ley.
Explicaciones comprensibles (libre de tecnicismos y trminos legales pero sin sacrificar
su precisin) sobre el porqu de las decisiones tomadas.

Finalmente, como documento dinmico de la organizacin, deben seguir un proceso de

actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de
la planta de personal, cambio en la infraestructura computacional, alta y rotacin de
personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios, etc.

Aportacin a la disciplina, la escuela o a la carrera

Al usar HTTPS una pgina web adopta una codificacin con certificado digital SSL con
el que crear un canal cifrado ms seguro para el trfico de datos cliente (navegador)
servidor.
HTTPS no evita que terceros puedan observar nuestras comunicaciones sino que crea un
sistema de cifrado que hace que el mensaje solo pueda ser entendido por el destinatario,
adems de garantizar que el receptor de los datos es quien dice ser.
Cuando estamos empleando un protocolo HTTPS podemos ver el icono de un candado en
la barra principal de nuestro navegador. Este protocolo de seguridad empez siendo usado
fundamentalmente por entidades bancarias y tiendas online, no obstante cada vez son ms
los servicios que trabajan con informacin personal y que han empezado a implementarlo.
Pese a lo anterior el protocolo HTTPS no es infalible.xxiv
A pesar de que recientes estudios han demostrado hallazgos de agujeros de informacin
en el protocolo HTTPS, se considera que una adecuada implementacin del protocolo SSL
(Secure Sockets Layer) puede ser clave para la seguridad web.xxv Diseodelainvestigacin

Cuando? En el mes de marzo durante la realizacin del trabajo colaborativo No 1 se crea

la necesidad de indagar sobre las vulnerabilidades de seguridad en el protocolo HTTPS en
la UNAD, y actualmente el mes de abril en la realizacin del trabajo colaborativo No 2 nos
encontramos indagando ms a fondo sobre el protocolo HTTPS
Quin? Autores: JISSELL ORTIZ AVILA, CARLOS EVELIO CARVAJAL, RICHAR J.
BETTIN MORALES, HERNANDO MANUEL MARTINEZ ARTEAGA, WILDER
MANUEL BRAVO
Destinatarios: Estudiantes y Docentes de la Universidad Nacional Abierta y a Distancia.
Cmo? En la enseanza y aplicacin tanto a estudiantes como a tutores sobre la correcta
aplicacin de una metodologa para el ingreso a la pgina web de la Universidad donde

7
debemos tener en cuenta que la URL empieza por HTTPS en lugar de HTTP. Si la barra de
direcciones del navegador es de color verde la pgina web es de la entidad que dice ser.
Qu? Se trata de una herramienta tecnolgica que nos permite mejorar la seguridad de la
pgina de la Universidad para evitar que se presente fuga de informacin.
Con qu? Usando correctamente el botn de Identidad del sitio (un candado) que aparece
en la barra de direcciones cuando visita una pgina segura. Adems se puede descubrir de
forma rpida y sencilla si la conexin a la pgina est encriptado y, en algunos casos, quin
es el propietario.
Para qu? El propsito de la investigacin es mejorar la seguridad de nuestros datos para
evitar posibles fraudes
Dnde? En la pgina de la Universidad Nacional Abierta y a Distancia
Contra qu? Contra espas Hacker y Cracker que utilizan troyanos, key logger, phishing y
dems formas de robar nuestros datos.
Por qu? Porque el actualmente el manejo de nuestra informacin debe ser de vital
importancia para ello debemos sistematizar la seguridad donde ingresamos los datos.
Porque existen en pginas web que no aplican los protocolos necesarios para tener una
buena seguridad. Porque el creciente aumento de las bases de datos de la pgina de la
universidad puede hacer que colapse su seguridad.

ndice esquemtico
Protocolo HTTPS o modo de navegacin segura
HTTPS es el segundo de los protocolos y el menos utilizado.
HTTPS son las siglas en ingles de "Protocolo seguro de transferencia de hipertexto".
Usa el puerto 443.
Permite realizar una conexin segura o sea de esa forma toda la informacin que viaja por
internet hacia dicho sitio o viceversa, es encriptada y nadie la puede interceptar.
Es usado en bancos, tiendas online y todos los sitios donde se realice cualquier tipo de
operacin financiera, pero tambin en sitios o servicios donde es necesario autentificarse
con un nombre de usuario y una contrasea.
HTTPS utiliza un cifrado basado en SSL (capa de conexin segura) o TLS (seguridad de la
capa de transporte), dos protocolos que proporcionan comunicaciones seguras por una red.

8
Al acceder a un sitio que usa HTTPS y realizar el navegador la solicitud, se le indica un
tercer sitio dnde acudir para comprobar que la informacin que ofrece el sitio es
verdadera.
Si es as se establece la conexin, pero en este caso es cifrada y totalmente segura.
Si es mucha ms lento y requiere ms tiempo todo el proceso de carga, aunque en una
conexin de alta velocidad no se nota tanto.
Conclusiones
Con el protocolo HTTPS, no slo podemos impedir que alguien vea las pginas web que
estamos visitando. Tambin impide que puedan conocer las URLs por las que nos
movemos, adems podemos cifrar no slo la pgina web sino tambin la URL completa, los
parmetros enviados y las cookies.

Referencias

i Julin, G. (2013). HTTPS: as funciona. Genbeta.com. Recuperado 18 Marzo 2016, desde

http://www.genbeta.com/web/https-asi-funciona
ii Julin, M. (2011). Explicando el protocolo HTTPS. Genbeta.com. Recuperado 18 Marzo 2016,
desde http://www.genbeta.com/guia-de-inicio/explicando-el-protocolo-https
iii Mi sitio. (2014). Recuperado 13 Marzo 2016, desde http://teoriageneral2014unad.weebly.com/
iv UNAD (2016). Leccin 11. La Pregunta de investigacin. Recuperado 15 Abril 2016, desde
http://datateca.unad.edu.co/contenidos/100104/100104_EXE/leccin_11__la_pregunta_de_investigacin.
html
v Zhong, P. (2016). Todos los Proyectos - PRISM Break. Prism-break.org. Recuperado 13 Marzo 2016,
desde https://prism-break.org/es/all/
vi ECURED (2012). Ataque informtico - EcuRed. Recuperado 15 Abril 2016, desde
http://www.ecured.cu/Ataque_inform%C3%A1tico
vii UPV (2012). Que es un Certificado Digital? : Certificados Digitales. Upv.es. Recuperado 15 Abril
2016, desde http://www.upv.es/contenidos/CD/info/711545normalc.html
viii DefinicionABC. (2016). Definicin de Cliente. Recuperado 15 Abril 2016, desde
http://www.definicionabc.com/general/cliente.php
ix Masadelante.com. (2016). Qu significa http? - Definicin y explicacin del trmino http.
Recuperado 15 Abril 2016, desde http://www.masadelante.com/faqs/que-significa-http
x internetlab.es. (2010). Qu significa el protocolo HTTPS y cmo funciona?. Recuperado 15 Abril
2016, desde http://www.internetlab.es/post/888/que-significa-el-protocolo-https-y-como-funciona/
xi Masadelante.com. (2016). Que es un explorador, navegador o buscador? - Ejemplos de
Navegadores. Recuperado 15 Abril 2016, desde http://www.masadelante.com/faqs/que-es-unnavegador
xii CCM. (2016). Protocolos. Recuperado 15 Abril 2016, desde http://es.ccm.net/contents/275protocolos
xiii Gestin de Riesgo en la Seguridad Informtica. (2009). 1. Definicin de Seguridad Informtica.
Recuperado 15 Abril 2016, desde https://protejete.wordpress.com/gdr_principal/definicion_si/
xiv Aprenderaprogramar.com. (2016). Qu es un servidor y cules son los principales tipos de
servidores (proxy,dns, web,ftp,pop3 y smtp, dhcp...). Recuperado 15 Abril 2016, desde
http://aprenderaprogramar.com/index.php?option=com_content&view=article&id=542:que-es-unservidor-y-cuales-son-los-principales-tipos-de-servidores-proxydns-webftppop3-y-smtpdhcp&catid=57:herramientas-informaticas&Itemid=179
xv libre, G. (2016). Qu es hardware y software?. Gcfaprendelibre.org. Recuperado 15 Abril 2016,
desde
http://www.gcfaprendelibre.org/tecnologia/curso/informatica_basica/empezando_a_usar_un_computad
or/2.do
xvi Symantec.com. 2016). Qu es SSL, TLS y HTTPS? Recuperado 15 Abril 2016, desde
https://www.symantec.com/es/es/page.jsp?id=ssl-information-center

xvii Webnode.es. (2016). Qu es el trfico de la web y la capacidad de almacenamiento? Recuperado

15 Abril 2016, desde http://www.webnode.es/ayuda/index.php?/Knowledgebase/Article/View/573/
xviii UNAD (2016). Leccin 1: Conceptos de Vulnerabilidad, Riesgo y Amenaza . (2016).
Datateca.unad.edu.co. Recuperado 15 Abril 2016, desde
http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_1_conceptos_de_vulnerabilidad_riesgo_
y_amenaza.html
xix oficina de seguridad del internauta. (2014). OSI. Recuperado 18 Marzo 2016, desde
https://www.osi.es/es/actualidad/blog/2014/02/28/que-pasa-si-una-pagina-web-no-utiliza-https.html
xx Proteger un sitio con el protocolo HTTPS - Ayuda de Search Console. (2016). Support.google.com.
Recuperado 18 Marzo 2016, desde https://support.google.com/webmasters/answer/6073543?hl=es
xxi Viejo, H. (2014). 5 Problemas con la seguridad de HTTPS y SSL en la web. Rootear. Recuperado
18 Marzo 2016, desde http://rootear.com/seguridad/5-problemas-con-https-y-ssl
xxii Cobas, J. D. G. (2005). Secure Sockets Layer (SSL). Di002.edv.uniovi.es. Recuperado 18 Marzo
2016, desde http://di002.edv.uniovi.es/~fcano/sr/transparencias/transSSLCobas.pdf
xxiii Borghello, C. (2009). Recuperado 13 Marzo 2016, desde http://www.seguinfo.com.ar/politicas/implementacion.htm
xxiv Guaita, A. (2016). En qu consiste el protocolo HTTPS?. DesarrolloWeb.com. Recuperado 18
Marzo 2016, desde http://www.desarrolloweb.com/de_interes/protocolo-https-7282.html
Arroyo, R. (2011). Recuperado 13 Marzo 2016, desde http://www.itespresso.es/una-adecuadaimplementacion-ssl-clave-para-la-seguridad-de-un-site-52467.html
xxv

Academia (2009): Plan de gestin de costos. Recuperado el 14 de mayo 2016 de:

https://www.academia.edu/5539541/Plan_de_gesti%C3%B3n_de_costos
Burburaca Gestin de integracin de proyectos:

Recuperado el 14 de mayo 2016 de:

http://www.burburaca.com/pmpblog/3gestiondeintegraciondeproyectos.html
Estrategias Gerenciales: GESTION OPERATIVA. Recuperado el 14 de mayo 2016 de.
http://www.iue.edu.co/documents/emp/gestionAlcance.pdf