El Cifrado Web (SSL/TLS) | Revista .

Seguridad

Seguridad de la informacin

http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls

Noticias

Alertas

Twitter

Facebook

www.tic.unam.mx

REVISTA .SEGURIDAD, DEFENSA DIGITAL | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

10
13
(12
/

nu
(m/
nu
er
m
oer
13
o)
12
)

(/numero-10)

El Cifrado Web (SSL/TLS)

Escrito por Dante Odn Ramrez Lpez (/autores/dante-od%C3%ADn-ram%C3%ADrezl%C3%B3pez) , Carmina Cecilia Espinosa Madrigal (/autores/carmina-cecilia-espinosamadrigal) | publicado el Mar, 03/05/2011 - 20:48

Qu es SSL/TLS?

15

52

Share
Twittear
SSL (Secure Sockets Layer) traducido al espaol
significa Capa de Conexiones Seguras. Es un protocolo que hace uso de
certificados digitales para establecer comunicaciones seguras a travs
de Internet. Recientemente ha sido sustituido por TLS (Transport Layer
Security) el cual est basado en SSL y son totalmente compatibles.

Te permite confiar informacin personal a sitios web, ya que tus datos

se ocultan a travs de mtodos criptogrficos mientras navegas en sitios
seguros.
Es utilizado ampliamente en bancos, tiendas en lnea y cualquier tipo
de servicio que requiera el envo de datos personales o contraseas. No
todos los sitios web usan SSL, por eso debes ser cuidadoso.

Cmo funciona?
Antes de entender cmo funciona esta tecnologa, es necesario abordar
algunos conceptos importantes y que forman parte del funcionamiento
interno de SSL/TLS.

Cifrado, no Encriptado
El cifrado es el proceso que transforma tu informacin de manera que
no cualquier usuario pueda entenderla, se realiza con base a un
elemento nico conocido como llave, as nadie, excepto el poseedor
puede leerla. El procedimiento inverso al cifrado es el descifrado.
La palabra correcta para describir el proceso de ocultamiento de
informacin es cifrado, usualmente encontrars literatura con el
trmino encriptado, el cual es incorrecto.

Llave pblica y llave privada

1 de 7

07-11-14 21:38

El Cifrado Web (SSL/TLS) | Revista .Seguridad

http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls

Son un par de llaves digitales asociadas a una persona o entidad y

generadas mediante mtodos criptogrficos. La llave pblica es usada
para cifrar la informacin, haciendo una analoga, es como la llave
utilizada para cerrar una puerta y mantener fuera a cualquier persona
mientras que la llave privada se usa para descifrar, es decir, la llave
que abre la puerta y slo la posee la persona autorizada, por lo tanto
sta debe mantenerse en secreto.

Firma digital
Del mismo modo que tu firma autgrafa, es un elemento que te
identifica y distingue de las dems personas y que al firmar con ella
adquieres derechos y obligaciones. La firma digital se genera con base a
la llave privada de quien firma y por lo tanto es nica.

Autoridad Certificadora (AC)

Una Autoridad Certificadora (AC, en ingls CA) es una entidad confiable
que se encarga de garantizar que el poseedor de un certificado digital
sea quien dice ser, bridando confianza a ambas partes de una
comunicacin segura SSL/TLS.

Certificado Digital SSL/TLS

Es un documento digital nico que garantiza la vinculacin entre una
persona o entidad con su llave pblica.
Contiene informacin de su propietario como nombre, direccin, correo
electrnico, organizacin a la que pertenece y su llave pblica, as
como informacin propia del certificado por mencionar: periodo de
validez, nmero de serie nico, nombre de la AC que emiti, firma
digital de la AC cifrada con su llave privada y otros datos ms que
indican cmo puede usarse ese certificado.

HTTPS
Simplemente es una combinacin del protocolo HTTP (usado en cada
transaccin web) con el protocolo SSL/TLS usada para establecer
comunicaciones cifradas en sitios web.

Funcionamiento
SSL/TLS es una tecnologa compleja, pero una vez entendidos los
conceptos anteriores comprenders el funcionamiento de este protocolo
de forma general. Usemos un ejemplo con el cual posiblemente ests
familiarizado.
Supongamos que intentas acceder al sitio de Facebook de forma segura,
es decir, usando https en la direccin web. Inmediatamente,
aparecer la pgina en pantalla y en alguna parte de tu navegador
observars un candado, dependiendo del navegador que uses (Imagen
1). Si no viste ningn mensaje de advertencia (generalmente en tonos
rojos), el protocolo SSL/TLS ha hecho su trabajo.

2 de 7

07-11-14 21:38

El Cifrado Web (SSL/TLS) | Revista .Seguridad

http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls

Imagen 1. Uso de protocolo HTTPS

SSL/TLS funciona de forma transparente para ti, lo que en realidad
ocurre cuando intentas acceder a un sitio seguro se asemeja al siguiente
diagrama.

Diagrama 1. Funcionamiento general de SSL/TLS

Iniciando comunicacin segura

En el punto dos del Diagrama 1, cuando el navegador hace una peticin
al sitio seguro de Facebook, ste enva un mensaje donde indica que
quiere establecer una conexin segura y enva datos sobre la versin del
protocolo SSL/TLS que soporta y otros parmetros necesarios para la
conexin.
En base a esta informacin enviada por el navegador, el servidor web
de Facebook responde con un mensaje informando que est de acuerdo
en establecer la conexin segura con los datos de SSL/TLS
proporcionados.
Una vez que ambos conocen los parmetros de conexin, el sitio de
Facebook presenta su certificado digital al navegador web para
identificarse como un sitio confiable.

Verificacin de validez del certificado

Una vez que el navegador tiene el certificado del sitio web de

3 de 7

07-11-14 21:38

El Cifrado Web (SSL/TLS) | Revista .Seguridad

http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls

Facebook, realiza algunas verificaciones antes de confiar en el sitio:

Integridad del certificado: Verifica que el certificado se encuentre
ntegro, esto lo hace descifrando la firma digital incluida en l
mediante la llave pblica de la AC y comparndola con una firma del
certificado generada en ese momento, si ambas son iguales entonces el
certificado es vlido.
Vigencia del certificado: Revisa el periodo de validez del certificado,
es decir, la fecha de emisin y la fecha de expiracin incluidos en l.
Verifica emisor del certificado: Hace uso de una lista de Certificados
Raz almacenados en tu computadora y que contienen las llaves pblicas
de las ACs conocidas y de confianza (Imagen 2). Puedes acceder a esta
lista desde las opciones avanzadas de tu navegador web (en este caso
usamos Google Chrome).
Con base a esta lista, el navegador revisa que la AC del certificado sea
de confianza, de no serlo, el navegador mostrar una advertencia
indicando que el certificado fue emitido por una entidad en la cual no
confa.

Imagen 2. Certificados raz

Estableciendo la conexin segura

Listo!, una vez que el certificado cumpli con todas las pruebas del
navegador, se establece la conexin segura al sitio de Facebook, lo cual
se traduce en seguridad para tus valiosos datos personales.

Punto dbil de la tecnologa SSL/TLS

Es importante que ests consciente que pese acceder slo a sitios
seguros, la tecnologa SSL/TLS no garantiza al 100% que tu informacin
est segura; considera que, como toda creacin humana, tiene fallos.
Los atacantes se han vuelto muy hbiles e ingeniosos para burlar estos
mecanismos de seguridad.
Por ello, debes tomar algunas medidas preventivas antes de realizar
transacciones en lnea que puedan poner en riesgo tu informacin.

4 de 7

07-11-14 21:38

El Cifrado Web (SSL/TLS) | Revista .Seguridad

http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls

Caso real
Un caso real que ejemplifica el mal uso de esta tecnologa fue
publicado en el artculo Troyano bancario secuestra conexiones SSL, el
cual puedes consultar en http://www.seguridad.unam.mx/noticias
/?noti=4419 (http://www.seguridad.unam.mx/noticias/?noti=4419) . En este
artculo se detalla un troyano (Trojan.Tatanarg) capaz de secuestrar
conexiones SSL/TLS al momento de realizar transacciones bancarias en
lnea. A grandes rasgos lo que hace este troyano es:
Supongamos que deseas realizar una operacin bancaria en lnea. Al
ingresar a la pgina web de tu banco, durante el proceso de conexin
SSL/TLS, el banco enva a tu navegador su certificado y su llave pblica
firmados, elementos que utilizar para cifrar la informacin a
transmitir. El troyano se interpone entre el servidor del banco y tu
navegador tomando la llave pblica y la informacin del certificado
para cifrar su propio canal de comunicacin, mientras tanto, del lado
del navegador el troyano inserta su certificado auto-firmado (certificado
falso) de tal manera que el candadito de seguridad siempre est
visible durante la conexin y as la presencia del troyano resulta
imperceptible. (Imagen 3).
Cuando envas tu informacin al banco, sta es cifrada utilizando el
certificado falso e interceptada por el mismo troyano, quien la
manipula y transfiere al banco para que ste la procese.

Imagen 3. Ataque de troyano Trojan.Tatanarg

Empleando el certificado falso, el troyano es capaz de descifrar y leer
la informacin que compartas con el banco, posiblemente reenvindola
a un atacante para que ste haga mal uso de ella, por ejemplo robando
tu identidad.

Recomendaciones

Evita hacer uso de computadoras y redes pblicas, sobre todo si

vas a utilizar el servicio de banca en lnea, realizar cualquier
tipo de compra o transferir informacin valiosa para ti.
Instala un antivirus y procura mantenerlo actualizado. Al final de
este artculo se listan algunas soluciones gratuitas que pueden
ayudarte.

5 de 7

07-11-14 21:38

El Cifrado Web (SSL/TLS) | Revista .Seguridad

http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls

Es importante mantener actualizado tu navegador, ya que si no

lo haces, eres ms susceptible a ataques. Consulta el sitio web
oficial del navegador que elijas y obtn la versin ms reciente.
Cuando utilices HTTPS, verifica la vigencia del certificado, esto
lo puedes hacer observando en el periodo de validez del mismo
(Imagen 4).

Imagen 4. Verificando vigencia del certificado

Soluciones antivirus:
AVG free [http://www.freeavg.com]
avast! Free [http://www.avast.com/es-ww/free-antivirusdownload]
Avira AntiVir Personal - Free Antivirus [http://www.avira.com
/es/avira-free-antivirus]

Navegadores web:

6 de 7

07-11-14 21:38

El Cifrado Web (SSL/TLS) | Revista .Seguridad

http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls

Mozilla Firefox [http://www.mozilla-europe.org/es]

Internet Explorer [http://windows.microsoft.com/es-ES/internetexplorer/products/ie/home]
Google Chrome [http://www.google.com/chrome]
Safari [http://www.apple.com/es/safari]
Opera [http://www.opera.com]

Referencias:
http://www.symantec.com/connect/blogs/banking-proxytrojantatanarg (http://www.symantec.com/connect/blogs/banking-proxytrojantatanarg)

http://h71028.www7.hp.com/PublicSector/cache
/107893-0-0-140-470.html (http://h71028.www7.hp.com/PublicSector
/cache/107893-0-0-140-470.html)

http://www.nxtgenug.net/Article.aspx?ArticleID=42
(http://www.nxtgenug.net/Article.aspx?ArticleID=42)

http://hubpages.com/hub/SSL-For-Dummies-UnderstandingWhat-it-all-Means (http://hubpages.com/hub/SSL-For-DummiesUnderstanding-What-it-all-Means)

http://blog.securism.com/2009/01/summarizing-pki-certificatevalidation/ (http://blog.securism.com/2009/01/summarizing-pki-certificatevalidation/)

Buscar

7 de 7

07-11-14 21:38