Seguridad Extremo a Extremo: montando el puzzle

Prácticamente todos nosotros, tanto los que hemos decidido realizar transacciones por Internet (con nuestro banco, con comercios, etc.) como los que hemos rechazado llevarlas a cabo, nos cuestionamos a la hora de tomar la decisión si el “entorno” era lo suficientemente seguro, encontrándonos con el concepto que nos ocupa: seguridad extremo a extremo.

Concepto que se ha convertido en uno de los mayores rompecabezas para los investigadores y profesionales que se encargan de implementarlo, para “los malos” que luchan por romperlo y para los usuarios, que se preocupan por la confidencialidad e integridad de su información.

La seguridad extremo a extremo se apoya en una serie de protocolos y mecanismos de protección que son implementados exclusivamente en dichos extremos de la comunicación, logrando un cauce seguro para la información intercambiada, impenetrable para todo “agente externo” que intente interceptarla.

Seguridad Extremo a Extremo
Seguridad Extremo a Extremo

Normalmente, un extremo de la comunicación se identifica con un cliente y el otro con un servidor. Precisando más, un extremo de la comunicación sería una instancia de software que se está ejecutando en una determinada máquina. Por ejemplo, en el lado cliente podría ser un navegador web, mientras que en el lado del servidor sería el programa que atiende las peticiones del cliente. Es decir, los extremos de la comunicación no son máquinas sino diferentes instancias de software que se ejecutan en ellas. Es importante ser conscientes de este nivel de granularidad porque es el campo de juego de amenazas y protecciones, como iremos viendo.

Artículo Relacionado: ¿Quién se ha comido mi sopa? La seguridad en un mundo hiperconectado

Pero, ¿qué componentes han de formar parte de nuestro análisis? ¿Cómo descomponemos la cadena de seguridad para intentar detectar el eslabón más débil? Veámoslo.

  • Identificación de los extremos: normalmente en el lado cliente se utiliza usuario y contraseña mientras que en el lado servidor se suele utilizar un certificado. Diferentes tecnologías aplican aquí: generación y gestión de contraseñas, contraseñas de uso único (once time password), doble factor de autenticación (algo físico, que se tiene; y algo lógico, que se sabe), protección física del almacén de claves privadas de los certificados (medidas biométricas, adecuación de las instalaciones, etc.), protección lógica (control de accesos a los mismos, trazabilidad de estos, etc.)
  • Protocolos: necesarios para regular la comunicación entre ambos extremos, por ejemplo: negociación de claves de sesión, cifrado de la información intercambiada, verificación de la integridad. Los protocolos (IPsec, TLS, SSL, etc.) utilizan algoritmos para implementar estas funciones. De nuevo diferentes tecnologías nos ayudan a manejar estos protocolos con eficiencia: servidores de acceso IPsec o VPN/SSL, balanceadores, cortafuegos, etc.
  • Algoritmos: mucho han evolucionado desde que Julio César decidiera ocultar la información a ojos no autorizados sustituyendo las letras de su mensaje por las situadas tres posiciones a la derecha en el abecedario, pero el objetivo sigue siendo el mismo. Distinguimos dos grandes familias: de cifra como AES y 3DES o de generación de “hash” (resumen identificativo de un bloque de información) como SHA-1, MD5, etc. En el lado servidor se utilizan tecnologías profesionales que incorporan hardware específico para implementar estos algoritmos, obteniendo mayor rendimiento. En el cliente se suele realizar por software, “penalizando” directamente la CPU del dispositivo utilizado.
  • Implementación segura: ambos extremos de la comunicación no han de tener vulnerabilidades explotables que conduzcan a interferir la comunicación, o malware que pueda comprometer la seguridad de la información intercambiada robando, por ejemplo, lo que es tecleado por el usuario o capturando la pantalla que muestra su aplicación. Algunos mecanismos que aportan seguridad son: bastionado de los sistemas operativos, mecanismos de protección de memoria, “sandbox” o aislamiento de los entornos de ejecución de las diferentes aplicaciones, descubrimiento y corrección de vulnerabilidades, los clásicos antivirus y un largo, muy largo, etc.
  • Operación segura: los usuarios en un extremo y los administradores de sistemas en el otro han de comprender cómo funcionan los diferentes mecanismos de seguridad implementados para intentar lograr el objetivo. Por ejemplo, si un usuario se intenta conectar a su servicio de banca por internet pinchando un enlace que recibe en un correo electrónico, siendo conducido a un servidor ajeno a su entidad bancaria que intenta suplantar la identidad de ésta, es muy probable que el navegador de la víctima lance la correspondiente alerta, si el usuario no es capaz de identificar este aviso como algo peligroso y continúa, el problema no puede ser achacado a la tecnología sino a la formación del mismo.

Si estos cinco elementos son seguros, la cadena que forman entre ambos extremos de la comunicación nos lleva a conseguir la “utópica” seguridad extremo a extremo: ambos lados de la comunicación pueden confiar en que ésta no puede ser vista por nadie diferente a ellos y los datos intercambiados no pueden ser modificados.

Sin embargo, la existencia de un único fallo en alguno de estos componentes de la comunicación es suficiente para que toda ella pueda ser comprometida.

En la siguiente entrega de esta serie de artículos analizaremos los problemas que más frecuentemente aparecen, así como las diferentes tecnologías que sirven para intentar mitigarlos.

 

Estoy en este sector porque mis padres me regalaron un Spectrum 48K allá por los 80, cuando rondaba los diez años. Desde aquellos días siempre quise ser capaz de entender como funcionaba esa máquina. Soñé con la electrónica, la informática… y acabé siendo Ingeniero de Telecomunicación. Ya trabajando descubrí la magia de las redes, de la virtualización… y el miedo en la seguridad. Ahora disfruto sorprendiéndome cada día con lo que vislumbro en el horizonte, viendo como se extiende el "movimiento open" 😉 y, claro, no dejando de aprender y compartir.

Soluciones y Sectores

Te puede interesar

Conoce toda nuestra Propuesta de Valor para Grandes Clientes

Para tu conectividad

Somos líderes en tecnologías de conectividad, contamos con un potente ecosistema de alianzas, conocemos al 100% los procesos y aplicamos las tecnologías a las necesidades de cualquier sector.

Para tu nube

Todas las ventajas que el Cloud puede aportar a tu negocio: Soluciones de los principales proveedores y puesta en marcha por equipos profesionales de primer nivel.

Para tu Ciberseguridad y Seguridad Tecnológica

Somos conscientes de que es esencial dotar a las empresas de los recursos necesarios para hacer frente a los riesgos de seguridad que pongan en peligro su negocio y su reputación.

Para tus Procesos

Desde Telefónica Empresas, te ayudamos a conocer, reducir y controlar tus procesos, generar eficiencias y optimizar operaciones, garantizando la permanencia de tu negocio.

Para tus Clientes

Conectar con tus clientes es básico para la pervivencia de tu negocio. Te ofrecemos todo tipo de soluciones (CRM, Asistentes virtuales, Espacios inteligentes, líneas 900…)
empleados dispositivos

Para tus Empleados

La propuesta de Telefónica Empresas incluye todas las herramientas que tus empleados necesitan para trabajar con la mejor experiencia de usuario. Porque retener el talento es básico.

Consultoría e innovación tecnológica

Toda nuestra experiencia de transformación e innovación a tu alcance. Porque en Telefónica Empresas contamos con un equipo con experiencia tanto en proyectos internos de la compañía, como con clientes de distintos sectores y tamaños.

Ir arriba