• Tweet

Uno de los mecanismos de seguridad web más importantes, no ha mejorado mucho desde la última vez que fue quebrantado a principios del año. Es lo que dijo Taher Elgamal, creador de la tecnología SSL, que brinda seguridad en diferentes tipos de transacciones web.

SSL fue abatido en septiembre, cuando intrusos robaron credenciales que permiten suplantar a cualquier empresa en la Web.

Las credenciales robadas fueron usadas para interceptar la comunicación de 300,000 cuentas de Gmail aproximadamente.

El Objetivo Principal

Las credenciales, llamadas también certificados, fueron robadas a la empresa alemana de seguridad DigiNotar. Se cree que el ataque fue realizado por el mismo intruso que robó los certificados de Comodo en Marzo de 2011.

En ambos casos, loa atacantes usaron sus credenciales falsas para interceptar las comunicaciones en Irán. Los expertos creen que la intrusión fue realizada por el gobierno de ese país, para espiar el uso de estos medios de comunicación en la organización de protestas ciudadanas.

Un ataque similar puede emplearse por ladrones cibernéticos para obtener dinero e información de tarjetas de crédito usadas en bancos o tiendas virtuales. A pesar de los dos incidentes, y que los intrusos declararon haber accedido a cuatro empresas de certificados SSL, se ha hecho poco para mitigar este tipo de ataques, dijo Elgamal, quién ahora es jefe tecnológico de Axway.

“Podría suceder nuevamente”, dijo. “No existen planes de recuperación, lo que en general es un mal modelo de seguridad”. Elgamal fue el primero en desarrollar SSL durante su trabajo en Netscape, el cual se adoptó como una tecnología web estandarizada conocida como TLS por el Comité de ingeniería de Internet.

El sistema de seguridad garantiza la identidad de un sitio web a través de certificados que son emitidos por autoridades de confianza. Estos certificados son usados millones de veces al día para dar certidumbre a la gente de que se conectan al sitio que solicitaron.

El problema del qué hacer cuando se compromete a los emisores de certificados nunca surgió cuando se trabajaba en el desarrollo de SSL/TLS, dijo Elgamal. “Nadie respondió la pregunta de qué hacer si una autoridad certificadora resultaba ser mala”, señaló.

El problema, dijo, no tiene que ver tanto con la tecnología, sino con las entidades emisoras de certificados. “Hay demasiadas”, continuó. Sin embargo, TLS no fue una tecnología estática; y de hecho se actualiza periódicamente para abordar algunas de las deficiencias detectadas por los hackers buenos y malos.

“Esta tecnología es un objetivo importante”, dijo, “Por supuesto se podría diseñar otra tecnología, pero no veo la razón, ya que ésta se convertiría en el siguiente objetivo”. Señaló que las actualizaciones a TLS, sí se instalan rápidamente por los desarrolladores de navegadores web, podrían mitigar otros ataques.

“El hecho de que TLS haya resistido la prueba del tiempo y afrontado problemas que han sido reparados por la comunidad, me indican que es una tecnología razonable”, concluyó.