Conforme la expansión de SSL como protocolo de comunicación por defecto en el mundo digital se va materializando, me surgen algunas dudas que creo importante señalar.
Es, de facto, un tema al que le he dedicado ya bastantes artículos. En ese escenario de comunicaciones inseguras, tuvo que llegar un whistleblower como Snowden para exponer masivamente la realidad que estábamos viviendo: que la seguridad no era un punto deseable, sino necesario para salvaguardar nuestros derechos como ciudadanos.
Bajo ese prisma, nacen proyectos como Let’s Encrypt, con entes de reputado prestigio como la EFF y la fundación Mozilla, así como acercamientos desde entornos a priori bastante adecuados como el que ofrece CloudFlare con su SSL flexible, que no han hecho más que democratizar el acceso a protocolo seguro de cara a los administradores de servicios.
Porque aquí radica el principal hándicap que hasta ahora teníamos: contar con un servicio cuyas comunicaciones se hicieran bajo protocolo seguro requería de una inversión que aunque baja (entre 70 y 500 euros anuales), echa para atrás a buena parte de esos proyectos incipientes, así como aquellos que aún no cuentan o no piensan contar con un modelo de negocio estable (como es el caso de esta humilde morada).
Que Google decida considerar el SSL como un aspecto más a la hora de posicionar una página frente a la competencia es otro movimiento a favor de su implantación, como lo es que las nuevas arquitecturas de comunicación (HTTP/2, por ejemplo) requieran, según el servidor donde está corriendo el servicio, que las comunicaciones se hagan vía SSL.
Al final, hay un interés de toda la industria porque en efecto el tráfico online se realice de manera privada, lo cual, sin lugar a duda, es beneficioso Y pese a ello, es necesario tener en cuenta que el cambio también arroja algunos puntos grises.
Hacia una internet menos descentralizada
Uno de ellos lo traté en profundidad recientemente. La cuestión es que para habilitar un SSL es necesario que alguien certifique la autoría de esa comunicación segura.
En teoría, uno mismo puede autofirmar un SSL en su servidor. El problema es que entonces esa comunicación no se considerará segura, ya que el navegador del cliente, al desconocer la firma de un servidor, mostraría una alerta de potencial peligro que de seguro echaría para atrás a buena parte del tráfico. Aunque en efecto la firma sea legítima y las comunicaciones se estén realizando de forma cifrada.
Por ello, lo que se obtiene con el cambio, además de lo obvio (comunicación cifrada), es una mayor centralización del mundo online, al tener que pasar todo ese tráfico por las manos (firmas) de unos cuantos grandes certificadores.
Un paso de tuerca más que rompe esa supuesta internet descentralizada que hemos ido poco a poco perdiendo, y que adelanta un problema aún mayor: ¿Qué pasará con todas esas páginas ya no actualizadas que irán paulatinamente desapareciendo de las búsquedas no porque su contenido carezca ya de valor, sino porque no cuentan con las tecnologías que hoy en día requiere la industria?
Una marginación de la web verdaderamente independiente frente a un escenario más centralizado, más controlado, y de paso, más seguro.
O al menos esa es la teoría, ¿verdad?
El SSL como sistema de confianza para la industria del crimen
Porque lo que es bueno para algo, suele tener su parte mala.
En este caso, ésta viene dada por el uso que ya están empezando a hacer la industria del cibercrimen de las comunicaciones seguras. Principalmente de dos maneras:
- Como herramienta de ofuscación: Una de las máximas habituales de un ataque es que la víctima no se de cuenta, al menos hasta que sea demasiado tarde. Cifrando las comunicaciones de la pieza de código con el centro de control (botnets, APTs, ransomware,…), obtenemos una capa más de ofuscación que complica el trabajo de los equipos azules (departamento de IT) de las empresas atacadas. En 2013 Gatner ya pronosticaba que para el 2017, el 50% de los ataques se harían bajo protocolos seguros, y la cosa seguramente acabe por materializarse en los próximos meses.
- Como sistema de confianza: Este otro punto me preocupa aún más, y es que hasta ahora, uno de los mantras más habituales que los que estamos metidos en esto de la seguridad defendíamos frente al grueso de la sociedad, era que siempre que nos queramos conectar a la página de nuestra entidad bancaria (por poner un ejemplo de servicio donde la privacidad y seguridad es crítica), nos cercioráramos de que existía un candadito verde en el box de búsqueda. Con la democratización del SSL, esto solo asegura que la comunicación se hace de forma segura, pero no que estamos en verdad en la página correcta.
El cambio parece baladí pero le aseguro que no lo es. El problema es que ya ha costado que la sociedad se fije en ese punto, como para ahora hacerles comprender que el que exista un candadito verde no significa que estemos seguros, simplemente que nos comunicamos de manera segura con un servidor, pudiendo ser éste legítimo o de la industria del crimen.
Se rompe así un sistema de confianza que hasta ahora, debido a que para certificar el SSL había que pasar por unos controles más rigurosos, estaba vigente, con todo lo que ello entraña.
Porque el phishing que veremos a partir de ahora vendrá, sí o sí, firmado por entidades como Let’s Encrypt o SSL Flexible de CloudFlare. Es un paso que apenas les va a llevar unas horas, y gracias a ello, mejorará la tasa de éxito de las campañas maliciosas.
¿Que les acaban pillando? Por supuesto, pero ¿qué ciclo de vida medio tiene una página de phishing? Le aseguro que suele ser de días, cuando no de horas. No es algo por tanto que les preocupe en demasía.
Es, de facto, un cambio de paradigma verdaderamente contraproducente para un protocolo cuyo pilar es precisamente ofrecer mayor seguridad y privacidad en las comunicaciones. Y además, no tiene solución alguna más que la continua formación del usuario, que sin lugar a duda llevará bastantes años.
Porque romper un sistema de confianza es aún más complicado que adquirir uno nuevo. Una vez ya tenemos constancia de que algo funciona, resulta más difícil que aceptemos que a partir de ahora esa máxima ya no se cumple.
Una debilidad humana, para variar. Esa misma que nos va a pasar aún más factura de aquí en adelante…
Veo tu apuesta y subo …..
Yo creo que el problema es el de siempre, la falta de conocimiento o, falta de cultura informática, si se quiere.
A pesar de que entiendo tu punto, veo que en tu exposición el problema viene por un aspecto que no has tocado más que tangencialmente. En el punto de: “como sistema de confianza”, mencionas: “… nos cercioráramos de que existía un candadito verde en el box de búsqueda.” y ese es el problema, de nunca el “candadito verde” ha significado más que simplemente que la comunicación se establece con un “canal seguro”, no asegura nada más.
Pregunta: Una verdad a medias ¡es una verdad o, es una mentira?
Saludos.
Totalmente de acuerdo. De hecho, esto me recuerda a un artículo que publiqué ya hace unos meses, sobre la irrelevancia del por qué frente al cómo.
La cuestión es exactamente la misma, aunque con un matiz. No podemos esperar que la sociedad llegue a una profundidad de conocimiento aceptable en todos y cada uno de los temas de conocimiento de la sociedad. Por ello, se buscan atajos, que como en este caso, son verdades (o mentiras) a medias.
Generalmente medio funcionan, pero como ocurre aquí, nos va a pasar factura a partir de ahora.
¿Cuál era la alternativa? Pedir al usuario que analice la URL a la que está entrando, y el contexto desde donde ha llegado a ella. Dos puntos sustancialmente más complejos de afrontar que simplemente decirle “échale un ojo y si hay un candadito, adelante”. Que era una verdad a medias, pero que se ha quedado justamente en eso.
Como siempre los perjudicados son los usuarios finales.
Desde muchos sitios ya se está avisando de esto, con mensajes del tipo, comprueba que hay un certificado (candado) y que es de la web que debe ser.
El mayor problema para entender la seguridad es que hay que hacer una carrera, un master, un posgrado y casi hasta un doctorado. ¿Y con eso ya está? No, mañana repetimos. Lo que hoy es válido mañana está obsoleto y confunde.
¿Como pueden distinguir los usuarios si una conexión es segura si el propio concepto de “seguro” es difuso? Comunicación cifrada, verificar el remitente, la cadena completa de certificados de confianza, el protocolo utilizado para la autenticación, un antivirus, un cortafuegos, IPV6, que a saber que será eso, a punto de desembarcar… Phising, spear phising, botnets, muleros, pentesters, keylogers, hooks sobre el navegador, ejecución de código remoto… Todo un maremagnum que se ha creado al intentarnos protegernos de los malos…. pero al hacerlo, tan rápido nos hemos olvidado de Peny, simpático personaje de una seríe televisiva que conecta a una serie de excentricos cientificos con conocimientos totales sobre informática, telecomunicaciones, seguridad y cualquier cosa que se pueda aprender. Y eso tirados en el sofa jugando con la consola o viendo star treck, star wars o alguna otra serie similar….
El grueso de los usuarios están en el nivel de conocimientos de Peny, y, como también se ve en la serie, no tiene intención de aprender esas cosas guays, críticas para nuestra existencia, por que es consciente que al final le va a pasar como con el antical de la lavadora, que no protegía contra la cal de magnesio… Y yo toda la vida usando un antical que no servía de nada… Todos mis esfuerzos en vano, la ropa sin lavar, y mi suelo lleno de agua…
El usuario de a pie no puede hacer nada contra skynet, solo confiar en que todo vaya a salir bien, y cuando eso no ocurra, confiar en que alguien le salve el día, por que de otro modo habría que desconectar del mundo… Si leemos lo que pone en el prospecto de cualquier medicamento, asumimos que en vez de paliar los síntomas los multiplicaremos por 10 y después moriremos entre grandes dolores… Y aun así decidimos que, sin entender muy bien que riesgo es el que asumimos, lo asumimos, y así nos quitamos la dolencia que teníamos.
Alea jacta es
Muy de acuerdo. Al final todo se trata de encontrar el equilibrio. Un equilibrio, por cierto, muy difícil de afrontar.
Y sí, los derroteros no van tanto porque el usuario sepa cuándo algo es “seguro”, sino porque todo cumpla un mínimo de seguridad aceptable. Cosa que hoy en día no ocurre, lamentablemente.
El problema es saber que es aceptable. Muy complicado…