Brinde comunicaciones seguras con el protocolo SSL

El protocolo SSL (Secure Sockets Layer o capa de conexión segura) es una tecnología de seguridad estandarizada que permite cifrar un enlace entre un navegador y un servidor web. Este enlace garantiza que los datos transmitidos entre el navegador y el servidor web permanezcan privados e íntegros.

Actualmente, este protocolo de seguridad se usa en millones de organizaciones a nivel mundial, sobre todo en el comercio electrónico; además, es usado en algunos servicios de Internet, como el email. El protocolo ssl busca disminuir el riesgo de robo y manipulación de información confidencial (como números de tarjetas de crédito, nombres de usuario, contraseñas y correos electrónicos, etc.) por parte de hackers.

Funcionamiento del protocolo SSL

Lo primero que se requiere para que se cifre una conexión es que el servidor web tenga instalado un certificado SSL que debe ser adquirido por una Autoridad de Certificación (CA). Al activar el certificado, se crearán dos claves criptográficas: una pública y otra privada.

La clave pública, que no necesariamente es secreta, se coloca en una solicitud de firma de certificado (CSR). Este es un archivo de datos que contiene información del comprador del certificado y que se envía a la Autoridad de Certificación.

Durante el proceso de solicitud, la CA validará los datos del comprador y generará un certificado SSL que, además de contener toda la información de dicha persona, permitirá establecer una conexión segura. Para poder usar el certificado, este deberá coincidir con la clave privada.



¿Cómo establecer una conexión segura?

Para establecer una conexión segura, se realizan los siguientes pasos:

  • El servidor web solicita al cliente (navegador web) la versión SSL soportada, su configuración de cifrado y varios datos relacionados con la sesión del usuario.
  • El cliente (navegador web) envía dichas solicitudes.
  • Luego el servidor envía el certificado SSL y el navegador web lo autentica. Este último crea una clave principal preliminar de la sesión. Dicha clave se cifra con la clave pública del servidor y luego se envía al servidor web.
  • El servidor procede a descifrar esta clave preliminar con su clave privada. Durante este proceso, tanto el cliente como el servidor crean un número secreto principal con el cifrado acordado.
  • Tanto el cliente como el servidor establecen una conexión segura e intercambian mensajes para informar que los datos se comenzarán a cifrar en el futuro.

Protocolos TLS y HTTPS

Existen otros tipos de protocolos de segudidad, a parte del protocolo SSl. Estos son:

  • TLS (Transport Layer Security) es una versión más actualizada y segura de SSL, y es usada ampliamente en el tráfico de red. Se estima que su uso supera el 60 % de las conexiones de red cliente/servidor.
  • HTTPS (Hyper Text Transfer Protocol Secure) es un protocolo que protege tanto la integridad como la confidencialidad de los datos del usuario entre su ordenador y un sitio web. Aparece en la barra de direcciones del navegador web cuando un sitio usa un certificado SSL.

Vale reseñar que los datos enviados por el usuario mediante HTTPS permanecen protegidos gracias a la seguridad en la capa de transporte (TSL).

¿Por qué aplicar el protocolo SSL en las organizaciones?

Actualmente, las amenazas de seguridad dirigidas hacia la obtención de datos sensibles de una organización se han vuelto más sofisticadas, enfocadas y persistentes. Por cada nueva capa de seguridad que se aplique, los atacantes buscan maneras de evadirla y comprometer los sistemas de una empresa. Esto hace imperativo para las organizaciones implementar las mejores prácticas de seguridad y proteger los datos.

La encriptación de datos es sumamente necesaria, ya que hace inaccesible la información a cualquiera que no tenga la clave correspondiente.

Por regla general, los departamentos de TI categorizan las infraestructuras de las empresas en tres grupos: servidores públicos, servidores privados y recursos en la nube.

Los servidores públicos son los más expuestos a ataques, ya que no suelen estar protegidos por los controles internos de seguridad de la red de una organización. Esta infraestructura requiere de mayores controles de seguridad y el uso de certificados SSL/TLS se hace sumamente necesario.

Su implementación permitirá identificar y autenticar al cliente cuando accede al servidor público. Con esto se mitigan posibles ataques a través de servidores remotos o el ingreso de un atacante con credenciales falsas; además, el protocolo ssl es una herramienta que impulsa la automatización de las empresas, por lo que es fundamental implementarlo.

En cuanto a los servidores privados y los recursos en la nube, estos ya de por sí implementan de manera predeterminada el protocolo SSL.

Importancia de los protocolos de seguridad para las empresas

Además de los aspectos técnicos, la aplicación de SSL/TSL en las organizaciones se hace importante debido a tres razones fundamentales:

Conformidad con leyes internacionales. Las empresas siempre han estado sujetas a regulaciones gubernamentales, sobre todo en lo concerniente a la privacidad y la confidencialidad. Aplicar el estándar de seguridad SSL ayudará enormemente a cumplir dichas regulaciones.

Mantener la seguridad de la información sensible del usuario. Sobre todo en bancos, hospitales, proveedores de correos electrónicos, tiendas en línea, etc.

Mantener la integridad de los datos. Una organización debe garantizar a sus usuarios que una vez ellos envíen alguna información sensible, esta no será interceptada por personas malintencionadas.

En la actualidad, muchas organizaciones están distribuyendo sus infraestructuras para poder ofrecer nuevos servicios, sacar provecho de aplicaciones existentes y reducir costos por mantenimiento. Al distribuir estas infraestructuras, las empresas también se benefician de una mayor seguridad, ya que actualmente se aplican nuevas tecnologías como machine learning y/o la inteligencia artificial al usar SSL/TSL. Estas nuevas tecnologías usan técnicas para decidir si un sitio web es malicioso o no de manera automática, evitando que el usuario determine si acepta o no un certificado de dudosa procedencia.

 

 

 

Déjanos un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

SUSCRÍBASE A NUESTRO NEWSLETTER