Desde hace aproximadamente un año, las vulnerabilidades en los protocolos de comunicación supuestamente seguros han acaparado muchas de las noticias de seguridad informática. Fallo tras fallo, los últimos meses nos han dejado vulnerabilidades que han puesto de manifiesto la necesidad de abandonar definitivamente protocolos completamente rotos como SSL y revisar otros más seguros pero tampoco exentos de riesgos.
Desde Heartbleed hasta Freak, pasando por Poodle o Winshock, hemos visto numerosos ejemplos donde los datos de los usuarios podian ser robados por un atacante aun a pesar de ser transmitidos usando protocolos considerados como seguros por buena parte de los servicios de Internet. No obstante, estos casos también han provocado que la industria tome cartas en el asunto y ya se empiezan a ver las primeras reacciones para evitar seguir usando un canal de transmisión de datos confidenciales inseguro.
Enterrando SSL
A pesar de tratarse de un protocolo con cerca de 20 años a sus espaldas, SSL v3.0 sigue siendo ampliamente utilizado para proteger conexiones que incluyen datos confidenciales. Pensemos por ejemplo en la comunicación que establecemos con nuestro banco cuando queremos realizar alguna operación a través de Internet. Los datos enviados pueden incluir nuestro nombre de usuario y contraseña, entre otros, y a nadie le gustaría que estos datos fueran fáciles de obtener.
Por suerte, la gran mayoría de entidades bancarias han realizado mejoras sustanciales para implementar la versión más avanzada del protocolo TLS disponible (v1.2 mientras que la v1.3 está terminando de definirse), aunque aún quedan unas pocas que no han terminado de realizar esta migración.
No ocurre lo mismo con un gran número de tiendas online que aun permiten la utilización de SSL 3.0 a pesar de que es vulnerable a ataques. De hecho, la gravedad de estas vulnerabilidades es tal que navegadores tan usados como Chrome y Firefox ya anunciaron dejar de soportar estas implementaciones antiguas para evitar poner en peligro a sus usuarios, muchos de los cuales aun piensan que la aparición de un candado en la barra de navegador ya es sinónimo de seguridad a pesar de usar un protocolo inseguro.
Medidas necesarias
Así las cosas, no es de extrañar que el estándar PCI DSS, tan respetado en la industria, haya tomado la decisión de abandonar definitivamente el soporte para SSL y forzar la migración a TLS. Esto afectará principalmente a los sistemas de pago online, precisamente el aspecto más crítico de cara al usuario, pero tampoco debe suponer un gran esfuerzo puesto que los certificados de seguridad usados por SSL y TLS son los mismos. Esto significa que no deben volverse a adquirir.
Será a partir de la v.3.1 de PCI DSS cuando se obligue a este cambio y, los poseedores de un certificado SSL deberán contactar con sus proveedores de servicios para asegurarse de que cumplen con el estándar y no verse penalizados a la hora de ser marcados como sitio potencialmente peligroso por los navegadores.
Tampoco hay que olvidar que muchas empresas que venden a través de Internet ni siquieran entienden la importancia de contar con un protocolo de comunicación entre el cliente y su entidad de pagos online. Por eso es importante que se realice una campaña de concienciación para que todo el mundo que se vea afectado esté informado de la importancia de hacer este cambio.
¿Es TLS invulnerable?
Lamentablemente, la respuesta es que no al 100%. Sin embargo hay que matizar, puesto que un ataque contra el protocolo TLS v1.2 tenga éxito también depende de la implementación realizada. Y eso es así porque existen implementaciones de TLS que implementas funciones de descifrados propias de SSL v3, permitiendo que ataques como Poodle puedan funcionar ya sea haciendo un downgrade a la conexión de TLS a SSL o incluso directamente a TLS.
No obstante, TLS incorpora por defecto medidas de seguridad mucho más robustas que SSL y, lo que es más importante, se siguen desarrollando nuevas versiones (con la v1.3 prevista para dentro de poco). Esto permite solucionar cualquier fallo de forma más eficaz ya que no se trata de parchear un protocolo con lustros de antigüedad, sino de actualizar otro más reciente.
¿Cómo nos afecta como usuarios?
Al tratarse de una medida de seguridad que se ha de implementar desde el lado del que gestiona una web y no del que la visita, podría parecer que tenemos poco margen de maniobra y, en principio, deberíamos confiar en que las webs en las que confiamos implementen TLS. Sin embargo, tal y como hemos dicho anteriormente, los principales navegadores están realizando un esfuerzo para detectar aquellas webs que siguen utilzando un protocolo obsoleto y avisarnos para que seamos conscientes del riesgo que esto supone.
De esta forma, podremos saber rápidamente si el sitio en el que estamos a punto de introducir los datos de nuestra tarjeta de crédito cumple con los estándares de seguridad o no. Es una manera sencilla y continuista puesto que tan solo hemos de prestar la misma atención que hacemos ahora al candado que certifica que una conexión es segura. Además, es de utilidad seguir estos 7 consejos para una navegación segura.
Conclusiones
Que se actualicen estándares para mejorar la seguridad de nuestras comunicaciones y, por ende, de los datos confidenciales transmitidos, siempre son buenas noticias. Sin embargo, los avances a la hora de descubrir nuevas vulnerabilidades se producen mucho más deprisa que las soluciones implementadas, más aun cuando se trata de estándares internacionales con largos plazos de implementación.
Es necesario que la industria sepa cómo reaccionar a este tipo de adversidades y para eso debe aliarse con la comunidad de investigadores, puesto que son ellos los que van a decirles donde están sus fallos y cómo solucionarlos antes de que sean aprovechados por los delincuentes y todos salgamos perdiendo.