Cómo elegir una autoridad de certificación que aumente la seguridad de su sitio web. Servicios de autenticación VeriSign.

Transcripción

1 Documento técnico Cómo elegir una autoridad de certificación que aumente la seguridad de su sitio web TM

2 Resumen ejecutivo La confianza es fundamental en Internet. Si un sitio web o un servicio en línea no inspira confianza, le resultará imposible triunfar en un entorno tan competitivo como el del comercio electrónico. Por eso existen sistemas que permiten al propietario de un dominio acreditar el correcto funcionamiento de su servicio o sitio web y demostrar así a los usuarios que pueden otorgarle su confianza. No obstante, últimamente estos sistemas cada vez sufren más ataques. A lo largo de 2011 se ha producido una oleada de incursiones contra las autoridades de certificación (también conocidas como CA), las empresas que garantizan la seguridad de los sitios y servicios web. En algunos casos, estos ataques han socavado la confianza que depositan los usuarios en las marcas que los han sufrido, algunas de las cuales son muy conocidas. La evolución del panorama de la seguridad es un síntoma de que no todas las CA son iguales. Para que una tienda online inspire confianza y funcione de forma segura, es fundamental elegir la autoridad de certificación correcta. Este documento técnico estudia el papel de estas entidades en la seguridad del tráfico web. También investiga qué medidas pueden tomar para aumentar la confianza que inspiran sus certificados y qué criterios deben aplicarse a la hora de elegir la CA más adecuada. 2

3 El papel de las autoridades de certificación Por qué es preciso que los sitios web inspiren confianza? El uso de Internet se ha convertido en algo corriente y esencial para todo tipo de actividades. Una consecuencia de este fenómeno es que los ciberdelincuentes cada vez tienen más objetivos a su alcance y más formas de aprovecharse de ellos, por ejemplo: usar técnicas de ingeniería social, falsos enlaces y otros métodos para embaucar a los usuarios y dirigirlos a sitios web que se hacen pasar por los que utilizan normalmente; engañar a los usuarios para que revelen de forma consciente o inconsciente sus datos personales, con el objetivo de usarlos con fines fraudulentos; instalar malware en el ordenador del usuario de forma encubierta para convertirlo en un instrumento con el que llevar a cabo otros delitos; y apropiarse de un dominio para espiar conversaciones ajenas o enviar mensajes de correo electrónico haciéndose pasar por un usuario de dicho dominio. Este problema no afecta únicamente a los consumidores: las cuentas de correo internas de las empresas también son vulnerables a esta estrategia, lo que las expone a intentos de espionaje industrial. Además de afectar a los usuarios, estas actividades perjudican a la imagen de marca del sitio web atacado. Al fin y al cabo, si el usuario no se siente seguro, su confianza se resentirá. Cómo saben los usuarios cuándo pueden fiarse de un sitio web? Por suerte, los usuarios de Internet son cada vez más conscientes de la necesidad de comprobar si los sitios web que visitan son dignos de confianza. Aunque no sepan con exactitud los peligros a los que se enfrentan al visitar sitios web maliciosos o inseguros, conocen las señales que indican que pueden navegar con tranquilidad, por ejemplo: El icono del candado: aparece junto con el prefijo «https» (en vez de «http» a secas) en la dirección URL y es uno de los primeros símbolos en los que se fijan los usuarios para comprobar si un sitio web es seguro. La barra de direcciones de color verde certifica que la página es segura, muestra el nombre de la empresa asociada al sitio web en cuestión e indica que se ha verificado su legitimidad. La barra de direcciones verde: últimamente, cada vez más usuarios saben que el resaltado total o parcial de la barra de direcciones indica un nivel de seguridad aún mayor. El prefijo «https» indica que la página se está visualizando a través de una conexión segura con los servidores del dueño del sitio web. La tecnología HTTP Secure (HTTPS) combina el protocolo HTTP estándar con el protocolo SSL (Secure Sockets Layer o «capa de sockets seguros»), y su uso indica que el servidor del sitio web ha sido autenticado por medio de un certificado SSL. 3

4 Sin embargo, el propietario del sitio web puede ir más allá y someterse a proceso de autenticación y validación más riguroso para obtener un certificado SSL con Extended Validation (EV), que proporciona una garantía aún mayor de que su sitio web es legítimo. Al visitar un sitio web que posee un certificado de este tipo, aparecerá un resaltado especial en la barra de direcciones del navegador y se mostrará más información sobre los responsables de dicho sitio web. Qué es una autoridad de certificación y cómo funcionan los certificados? Las autoridades de certificación son empresas que emiten certificados SSL y SSL con Extended Validation (EV). Los usuarios pueden comprobar en cualquier momento qué entidad ha emitido un certificado concreto haciendo clic en el icono del candado situado junto a la dirección URL del sitio web. Los certificados SSL se basan en un conjunto de claves públicas y privadas que permiten establecer una conexión segura entre el ordenador del usuario y el servidor del sitio web, así como comprobar si la clave pública de un sitio web corresponde realmente a su propietario. Sin embargo, dado que dicha clave pública está firmada con la clave privada de la autoridad de certificación, su seguridad depende de la fiabilidad de la CA que la protege. Los usuarios pueden comprobar en cualquier momento qué entidad ha emitido un certificado concreto haciendo clic en el icono del candado situado junto a la dirección URL del sitio web. Cuando un usuario visita un sitio web que posee un certificado SSL, su navegador y el servidor del sitio web llevan a cabo un procedimiento llamado handshake o «apretón de manos». En primer lugar, el navegador solicita el certificado. Una vez que lo recibe y lo verifica, genera un código denominado «clave maestra» y lo cifra mediante la clave pública vinculada al certificado. Acto seguido, envía la clave maestra cifrada al servidor del sitio web. Dicho servidor posee la clave privada en la que se basa la clave pública del certificado, por lo que es capaz de descifrar la clave maestra y usarla para autenticar un mensaje y enviárselo al cliente. Con esto finaliza el proceso de handshake y ambas partes establecen una conexión segura. Existen varios tipos de certificados SSL que ofrecen distintos niveles de seguridad: Certificados SSL de nivel básico (con validación de dominio): la autoridad de certificación envía un mensaje de correo electrónico a la cuenta registrada como dirección del administrador del sitio web solicitante. A continuación, el administrador valida el dominio por medio del enlace o token de autenticación que se incluye en dicho mensaje y recibe el certificado SSL correspondiente. El problema es que este sistema apenas ofrece garantías de que el solicitante sea una empresa legítima. Certificados SSL con autenticación completa: el siguiente nivel de validación solamente se otorga una vez que la autoridad de CA ha verificado la validez y titularidad de la empresa y ha confirmado que el solicitante está autorizado a pedir el certificado. Certificados SSL con Extended Validation (EV): este tipo de certificado SSL es el que ofrece más señales visuales de confianza. No solo indica al usuario que el certificado se ha emitido tras someter al solicitante a un riguroso proceso de validación, sino también que la propia autoridad de certificación emisora está sujeta a auditorías realizadas por una empresa independiente. La razón de ser de los certificados SSL con Extended Validation es que, en realidad, no todos los certificados SSL merecen el mismo nivel de confianza. Dado que no están sometidos a unos estándares mínimos, muchas autoridades de certificación o registro de pequeño tamaño se dedican a revender certificados raíz procedentes de las CA más grandes a precios relativamente bajos. Esta proliferación de intermediarios ha hecho que el sistema empiece a presentar problemas. 4

5 Qué ha sucedido para que las CA se conviertan en blanco de los ataques? Aunque el número de intrusiones sufridas por autoridades de certificación a lo largo de 2011 resulta preocupante, lo cierto es que las entidades más consolidadas han conseguido repeler todos los ataques. Esto sugiere que, a la hora de elegir una autoridad de certificación, lo barato sale caro: los casos en que los ataques han tenido éxito han afectado principalmente a intermediarios cuya infraestructura no estaba debidamente protegida, con los consiguientes problemas para sus socios y, sobre todo, para sus clientes. Las principales prioridades de una autoridad de certificación deben ser: reforzar la protección de la infraestructura que gestiona las claves criptográficas; y proteger el proceso de autenticación que se emplea para validar las identidades. A lo largo del año pasado, la seguridad de las conexiones protegidas mediante SSL ha quedado en entredicho debido a la proliferación de falsos certificados y a la falta de rigor de ciertas autoridades de certificación. Cuando estas entidades son víctimas de un ataque, todos los certificados que hayan emitido (ya sean auténticos o fraudulentos) quedan bajo sospecha, lo que puede hacer que se vean obligadas a cerrar. Lamentablemente, en el mercado de los certificados SSL no existe actualmente una normativa que fije unos requisitos mínimos exigibles. Sin duda, el precio es un factor importante en el proceso de compra, pero las intrusiones sufridas por numerosas autoridades de certificación durante el pasado año ponen de manifiesto que no debe ser el único criterio a la hora de elegir. Al evaluar una CA, es importante tener en cuenta su historial de seguridad y fiabilidad. A lo largo de 2011, varias autoridades de certificación tuvieron que suspender la emisión de certificados porque sus sistemas sufrieron incursiones o porque no pudieron desmentir las alegaciones de que su infraestructura había sido víctima de un ataque. Además, estas entidades corren el riesgo de que los proveedores de navegadores web incluyan sus certificados en una «lista negra» si estiman que el cifrado de sus productos no es lo bastante seguro. Qué medidas puede tomar una autoridad de certificación para fomentar la confianza en sus certificados? Una autoridad de certificación que no gestiona su infraestructura de seguridad de forma diligente y rigurosa supone un peligro no solo para sus clientes, sino para toda la comunidad de usuarios de comercio electrónico. Como han demostrado los últimos ataques, mantener protegidas las claves criptográficas es de una importancia capital. Esta tarea cada vez resulta más difícil, pero la capacidad de un proveedor de certificados SSL para mantener la máxima seguridad debe ser el factor más importante a la hora de escoger. Los clientes solamente deberían recurrir a autoridades de certificación que, además de gozar de un historial intachable, cumplan los siguientes requisitos: disponer de infraestructuras diseñadas para resistir los ataques; contar con redes de alta seguridad y sistemas de supervisión del hardware; proteger el acceso a las instalaciones mediante tecnología biométrica, con doble control de acceso a los sistemas más importantes; utilizar sistemas criptográficos por hardware para firmar digitalmente los certificados; aplicar controles por partida doble a la hora de emitir certificados que lleven su nombre; seguir las prácticas recomendadas para verificar la propiedad de los dominios; y realizar auditorías independientes de forma periódica. 5

6 Qué nos deparará el futuro? Los dueños de sitios web deben tomar conciencia de algo que ya saben los delincuentes y los hackers al servicio de algunos estados: que no todas las autoridades de certificación son iguales. Algunas son más vulnerables que otras, y explotar sus puntos débiles se ha convertido en un negocio cada vez más interesante para los hackers. Además, ahora que las aplicaciones en la nube están empezando a reemplazar al software de escritorio, el volumen de datos que debe protegerse es cada vez mayor y más diverso. Ganarse la confianza de los consumidores es crucial para cualquier empresa, pero equivocarse al elegir su autoridad de certificación no solo pone en peligro los datos de los clientes: también supone un riesgo para los datos internos de la empresa, desde el correo y los servicios de comunicaciones unificadas hasta los documentos y hojas de cálculo. Los últimos ataques también revelan que los hackers utilizan distintos medios más o menos osados para infiltrarse en los sistemas de las CA. Por lo tanto, para protegerse a sí mismas y a sus clientes, estas deben adaptar continuamente sus sistemas de seguridad y salir al paso de cualquier nueva amenaza. Sea cual sea la autoridad de certificación que elija, debe asegurarse de que su infraestructura esté a la altura de sus necesidades y de que disponga de los medios necesarios para prevenir las amenazas o reaccionar cuando sea blanco de un ataque. Sus sistemas de seguridad deben ser completos y exhaustivos, sin perder de vista ningún eslabón de la cadena. Los peligros son demasiado graves como para conformarse con menos. Consulte esta guía para descubrir la estrategia que convierte a Symantec en una de las autoridades de certificación más fiables: un mantenimiento riguroso y diligente de su infraestructura de seguridad. Más información Visite nuestro sitio web Para contactar con un especialista en productos Llame al o al (+41) Sobre Symantec Symantec es líder mundial en soluciones de gestión de sistemas, almacenamiento y seguridad. Su objetivo es ayudar a empresas y particulares a gestionar y proteger sus datos en un mundo cada vez más dominado por la información. Nuestros servicios y programas protegen contra una mayor cantidad de riesgos en más puntos y de una forma más completa y eficaz, lo que brinda tranquilidad independientemente de dónde se utilice o almacene la información. Symantec Spain S.L. Parque Empresarial La Finca Somosaguas, Paseo del Club Deportivo, Edificio 13, oficina D1, 28223, Pozuelo de Alarcón, Madrid, España Copyright 2011 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, la uve sobre el círculo y Authentication son marcas comerciales o marcas registradas de Symantec Corporation o sus filiales en los Estados Unidos y otros países. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios. 6