DigiSign Data Security Logo   Productos, servicios, consultoría Seguridad en la transmisión de información y en el comercio electrónico Noticias sobre Seguridad, Criptografía, etc.
  Temas de hacking y seguridad Pagina Central Preguntas Frecuentes y Ayudas
  Ir a la Página Superior
 

Conexiones seguras y seguridad en el www

Por: Miguel Angel Fraga

En un sistema conectado al Internet u otra red sin prestar la debida atención a los temas de seguridad, la información que se recibe pudo haber sido modificada en su tránsito, o puede no provenir del sitio del cual se cree que proviene. De igual manera, la información enviada puede ser interceptada en el camino, puede ser desviada o puede ser leída por personas no autorizadas.

En una red insegura, se pueden incrementar los controles en la seguridad para suplir las deficiencias. La realidad muestra que resulta más beneficioso considerar la mejora en la seguridad de la red, ya que de esta forma se evitarán sistemas y aplicaciones robustas, redundando en una sustancial mejora en la performance y los costos.

También debe considerarse la seguridad en el sistema utilizado. La seguridad en el sistema concierne a la protección del sistema y su entorno local, que funciona como extremo de una comunicación y donde corre la aplicación (pero sin incluir a estos últimos).

A la seguridad en el sistema corresponden medidas tales como:

  • Verificar que los proveedores de software sean confiables.

  • Asegurar que el software instalado se encuentre libre de debilidades de seguridad.

  • Actualizar periódicamente el software instalado con las últimas versiones o actualizaciones para minimizar los puntos débiles que todo software posee.

  • Asegurar un sistema libre de virus y de trojan horses.

  • Minimizar los riesgos de penetración (restringiendo, por ejemplo, los ports a Internet que no son utilizados).

  • Prohibir la utilización de modems dentro de nuestra red.

  • Asegurar una eficiente administración de los accesos al sistema, en elementos tales como: passwords que expiren en periodos cortos, no admitir passwords triviales, eliminación de cuentas obsoletas, etc.


Seguridad en la www

La seguridad en la www (World Wide Web), puede dividirse en dos categorías:

  • La primera, se refiere a los riesgos a los que se ve expuesto un servidor Web, tal como la exposición de documentos a personas no autorizadas, o la posibilidad de que un cracker de ejecute código malicioso en dicho servidor.

  • La segunda, se refiere a comprometer las comunicaciones de los usuarios, tal como la captura de números de tarjeta de crédito, o cualquier otra información sensible que tenga algún valor en manos de personas inescrupulosas.

Para solucionar estos problemas, es necesario aplicar protocolos de seguridad para Web en servidores y navegadores (browsers). Los más utilizados son: SSL (Secure Socket Layer) y TLS (Transport Layer Security).


¿Cuál es el problema de la seguridad en los servidores?
Como ya dijimos, el problema se presenta cuando usted completa, por ejemplo, un formulario colocando su información personal (e inclusive el número de alguna de sus tarjetas de crédito) y lo envía a un servidor Web, usted está enviando los datos contenidos en dicho formulario al Internet. Estos datos son transmitidos por el Internet pasando de máquina en máquina hasta llegar al destinatario.
El peligro es que sus datos puedan ser recogidos (robados) en cualquiera de las máquinas por las cuales pasan en el proceso de transmisión y caer en manos de cualquiera.

¿Qué es un servidor seguro?
Un servidor seguro le garantiza la privacidad de los datos que usted transmite por la red. Dicha privacidad se consigue mediante un protocolo que brinde seguridad en la transmisión de información. La seguridad es el resultado de la comunicación entre un navegador que soporte el protocolo y un servidor que también soporte el mismo protocolo. Las últimas  versiones de los navegadores Netscape Communicator y Microsoft Internet Explorer soportan protocolos que brindan seguridad en la transmisión de información como, por ejemplo, SSL y TLS.

¿Cómo funciona el protocolo SSL?
Explicándolo en forma sencilla, tanto el navegador como el servidor Web acuerdan una clave de encriptado para esa comunicación, a partir de allí, encriptan los datos que usted envía hacia el servidor tanto como los que el servidor le envía a usted. De esta forma si algún individuo, durante el proceso de transmisión, consigue apropiarse de la información, no podrá leerlos ya que no dispone de las claves necesarias.

¿Cómo se puede saber que un servidor es seguro?
Lo sabe por la llave llena que aparece en la parte inferior izquierda de su navegador Netscape, o por el candado  que aparece en la parte inferior derecha de su navegador Internet Explorer.
También se puede apreciar que la dirección con la que va a conectarse varía ligeramente: ya que no empieza con "http://" sino con "https://". En Netscape Communicator abriendo la ventana Ver (View) y posteriormente haciendo clic en Información del Documento (Document Info) encontrará todo lo relativo al nivel de seguridad de la comunicación con dicho servidor, su certificación, y la Autoridad de Certificante (CA).  Lo mismo sucede con Internet Explorer 4 ó 5, haciendo clic con el botón derecho del mouse directamente sobre el documento que está visualizando, seleccionando el item Propiedades y haciendo clic en el botón Certificados, obtendrá la información relativa al nivel de seguridad de dicho servidor.

¿Qué es el certificado de seguridad?
Un certificado de seguridad lo concede una entidad certificadora: la Autoridad Certificante.  Esta entidad concede dicho certificado después de haber comprobado los datos de la entidad solicitante. El certificado de servidor seguro se concede a una entidad cuyas referencias han sido comprobadas, para asegurar que efectivamente quien realizará las comunicaciones seguras es quien realmente dice que es y no alguien que pretende hacerse pasar por otro.
 

 
Volver al Comienzo de Página