Академический Документы
Профессиональный Документы
Культура Документы
Seguridad
Seguridad de la informacin
http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls
Noticias
Alertas
www.tic.unam.mx
REVISTA .SEGURIDAD, DEFENSA DIGITAL | 1 251 478, 1 251 477 | REVISTA BIMESTRAL
10
13
(12
/
nu
(m/
nu
er
m
oer
13
o)
12
)
(/numero-10)
Qu es SSL/TLS?
15
52
Share
Twittear
SSL (Secure Sockets Layer) traducido al espaol
significa Capa de Conexiones Seguras. Es un protocolo que hace uso de
certificados digitales para establecer comunicaciones seguras a travs
de Internet. Recientemente ha sido sustituido por TLS (Transport Layer
Security) el cual est basado en SSL y son totalmente compatibles.
Cmo funciona?
Antes de entender cmo funciona esta tecnologa, es necesario abordar
algunos conceptos importantes y que forman parte del funcionamiento
interno de SSL/TLS.
Cifrado, no Encriptado
El cifrado es el proceso que transforma tu informacin de manera que
no cualquier usuario pueda entenderla, se realiza con base a un
elemento nico conocido como llave, as nadie, excepto el poseedor
puede leerla. El procedimiento inverso al cifrado es el descifrado.
La palabra correcta para describir el proceso de ocultamiento de
informacin es cifrado, usualmente encontrars literatura con el
trmino encriptado, el cual es incorrecto.
1 de 7
07-11-14 21:38
http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls
Firma digital
Del mismo modo que tu firma autgrafa, es un elemento que te
identifica y distingue de las dems personas y que al firmar con ella
adquieres derechos y obligaciones. La firma digital se genera con base a
la llave privada de quien firma y por lo tanto es nica.
HTTPS
Simplemente es una combinacin del protocolo HTTP (usado en cada
transaccin web) con el protocolo SSL/TLS usada para establecer
comunicaciones cifradas en sitios web.
Funcionamiento
SSL/TLS es una tecnologa compleja, pero una vez entendidos los
conceptos anteriores comprenders el funcionamiento de este protocolo
de forma general. Usemos un ejemplo con el cual posiblemente ests
familiarizado.
Supongamos que intentas acceder al sitio de Facebook de forma segura,
es decir, usando https en la direccin web. Inmediatamente,
aparecer la pgina en pantalla y en alguna parte de tu navegador
observars un candado, dependiendo del navegador que uses (Imagen
1). Si no viste ningn mensaje de advertencia (generalmente en tonos
rojos), el protocolo SSL/TLS ha hecho su trabajo.
2 de 7
07-11-14 21:38
http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls
3 de 7
07-11-14 21:38
http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls
4 de 7
07-11-14 21:38
http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls
Caso real
Un caso real que ejemplifica el mal uso de esta tecnologa fue
publicado en el artculo Troyano bancario secuestra conexiones SSL, el
cual puedes consultar en http://www.seguridad.unam.mx/noticias
/?noti=4419 (http://www.seguridad.unam.mx/noticias/?noti=4419) . En este
artculo se detalla un troyano (Trojan.Tatanarg) capaz de secuestrar
conexiones SSL/TLS al momento de realizar transacciones bancarias en
lnea. A grandes rasgos lo que hace este troyano es:
Supongamos que deseas realizar una operacin bancaria en lnea. Al
ingresar a la pgina web de tu banco, durante el proceso de conexin
SSL/TLS, el banco enva a tu navegador su certificado y su llave pblica
firmados, elementos que utilizar para cifrar la informacin a
transmitir. El troyano se interpone entre el servidor del banco y tu
navegador tomando la llave pblica y la informacin del certificado
para cifrar su propio canal de comunicacin, mientras tanto, del lado
del navegador el troyano inserta su certificado auto-firmado (certificado
falso) de tal manera que el candadito de seguridad siempre est
visible durante la conexin y as la presencia del troyano resulta
imperceptible. (Imagen 3).
Cuando envas tu informacin al banco, sta es cifrada utilizando el
certificado falso e interceptada por el mismo troyano, quien la
manipula y transfiere al banco para que ste la procese.
Recomendaciones
5 de 7
07-11-14 21:38
http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls
Soluciones antivirus:
AVG free [http://www.freeavg.com]
avast! Free [http://www.avast.com/es-ww/free-antivirusdownload]
Avira AntiVir Personal - Free Antivirus [http://www.avira.com
/es/avira-free-antivirus]
Navegadores web:
6 de 7
07-11-14 21:38
http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls
Referencias:
http://www.symantec.com/connect/blogs/banking-proxytrojantatanarg (http://www.symantec.com/connect/blogs/banking-proxytrojantatanarg)
http://h71028.www7.hp.com/PublicSector/cache
/107893-0-0-140-470.html (http://h71028.www7.hp.com/PublicSector
/cache/107893-0-0-140-470.html)
http://www.nxtgenug.net/Article.aspx?ArticleID=42
(http://www.nxtgenug.net/Article.aspx?ArticleID=42)
http://hubpages.com/hub/SSL-For-Dummies-UnderstandingWhat-it-all-Means (http://hubpages.com/hub/SSL-For-DummiesUnderstanding-What-it-all-Means)
http://blog.securism.com/2009/01/summarizing-pki-certificatevalidation/ (http://blog.securism.com/2009/01/summarizing-pki-certificatevalidation/)
Buscar
7 de 7
07-11-14 21:38