Image Image Image Image Image Image Image Image Image Image
Scroll to top

Top

No Comments

SSL: que no le metan gato por liebre!

Felipe Lizcano

En el pasado las organizaciones podían confiar “a ojo cerrado” en que usando “el protocolo seguro HTTPS”, su información confidencial, iba a mantenerse lejos del alcance los hackers! Ese pensamiento hasta hace un tiempo parecía medianamente acertado! Dado que hasta los pesos pesados como Google, Facebook y Twitter 
se montaron en “la onda de los certificados SSL”. Lo que muchos no pudieron prever o visualizar es que las grandes compañías no basaban todo su esquema de seguridad solamente en dicho protocolo (era sólo un capa más que resguardaba sus datos).

Según Dell y su “Informe Anual de Amenazas”, desde el 2014 se observó un aumento del volumen de conexiones web HTTPS de 182 mil millones en enero de 2014 a 382 mil millones en enero de 2015, y la cantidad continúa en aumento. Hasta marzo de 2015, la cifra trepó a 437 mil millones.

https
Eso muestra demuestra un esfuerzo común por parte del mercado para cifrar la información confidencial. Lo que no es muy evidente, es que los Hackers le están dando a sus víctimas “una cucharada de su propia medicina”, dado que en la actualidad, dichos personajes se valen del HTTPS para “ocultar” malware a los firewalls corporativos. Por lo mismo, las organizaciones deben protegerse ante amenazas de tráfico cifrado mediante la implementación de inspección SSL.

Por otro lado, tal como se ha visto recientemente, a nivel de dispositivos móviles ningún sistema operativo es infalible y menos cuando se tienen usuarios del tipo “precoz”, que constantemente van navegando por las oscuras aguas de internet, como turista en sus vacaciones, instalando aplicaciones de fuentes dudosas y dando clic en la opción de “aceptar” todo lo que aparece en pantalla, con la finalidad de cerrar las alertas sin ni siquiera leer sus contenidos.

Debido a todo lo anterior, muchas compañías ha integrado a sus políticas el uso de la autenticación multifactor, que generalmente va más allá de requerir el usuario y contraseña e incluye el envío al usuario de un código extra al número de teléfono registrado en la cuenta (dado que, en teoría, el usuario sólo puede obtener acceso). 

Este tipo de autenticación multifactor (MFA), se caracteriza por requerir dos de los siguientes elementos:

  • Cosas que sólo el usuario conoce, como una contraseña,
  • Cosas que sólo el usuario tiene, como un SmartPhone,
  • Factores biométricos, como una huella digital

Para ilustrar los conceptos anteriormente mencionados, hablamos con un experto regional de Dell vía Skype (por eso a veces la imagen de video tiene sus retrasos pero el sonido es fluido), que nos explicó los conceptos de una manera muy fácil de entender.