SSL la ilusión de una conexión Web segura
SSL (Secure Sockets Layer) es un algoritmo diseñado para utilizar la tecnología de cifrado de alta seguridad, existentes para proteger la información transferida entre un navegador Web y un servidor Web. Sin embargo, si SSL no está configurado correctamente puede proporcionar la ilusión de que una conexión Web es seguro, cuando en realidad la conexión sigue siendo vulnerable a los ataques maliciosos y espionaje.
Sin salir del navegador, basta dar clic en el icono a la izquierda de la URL para conseguir más información acerca de la seguridad del sitio que estamos visitando en el momento.
El certificado SSL detalla información como: si el tráfico está cifrado, qué entidad ha emitido el certificado, las características del cifrado, etc. Lo que no podemos determinar con esa información, al menos no los ojos inexpertos, es la calidad de implementación de ese cifrado. Para eso existen herramientas en línea como la que proporciona gratuitamente Qualys SSL Labs
La herramienta Qualys SSL Labs
es un servicio online que permite inspeccionar la configuración de cualquier servidor SSL público. Se encarga de verificar la implementación de diferentes protocolos (SSL, TLS); validez del certificado; renegociación; reutilización de sesiones; suites de cifrado disponibles, obsoletas y poco comunes; vulnerabilidad a ataques BEAST y POODLE; OCSP Stapling; simulación de handshakes, etc.
Su funcionamiento es sencillo, introduces una dirección URL para examinarla y obtienes como resultado un cuadro muy sencillo de comprender, que con toda la información que recopila elabora un reporte detallado y asigna una calificación de: A (excelente) a la F (desastroso) de acuerdo a la configuración del servidor y a las vulnerabilidades encontradas.
Exponemos a continuación algunos sitio web en el Ecuador, que a pesar que tienen certificados de seguridad, podemos encontrar que sus conexiones siguen siendo vulnerable a
los ataques informáticos.
 |
| Prueba realizada [26-Jul-2015] intermatico.com.ec Banco del Pacífico |
 |
| Prueba realizada [26-Jul-2015] pichincha.com Banco del Pichincha |
 | |
| Prueba realizada [26-Jul-2015] produbanco.com Banco Produbanco |
 |
| Prueba realizada [26-Jul-2015] bancavirtual.bankguay.com Banco de Guayaquil |
 |
| Prueba realizada [26-Jul-2015] https://www3.bolivariano.com/bancav/ Banco Bolivariano |
 |
| Prueba realizada [26-Jul-2015] accroachcode.com ACCROACHOCODE |
El problema como usuarios es que no podemos conformanos con menos de una A. Porque de
eso trata el servicio, que es útil al propietario de un servidor,
pero también al usuario común. Como consecuencia de las amenazas modernas de seguridad y de la
constante aparición de nuevas brechas y vulnerabilidades de seguridad en
los protocolos y algoritmos de cifrado, es necesario garantizar la
seguridad de los servidores HTTPS.
La calificación A en las pruebas de Qualys SSL Labs denota un nivel de seguridad razonablemente bueno. Lo alarmante, es probar esta herramienta contra los servidores de Bancos que utilizamos a diario. Muchos bancos y entidades
financieras tiene calificaciones F, lo que implica que son vulnerables a
todos los ataques que existen hasta el momento.
Es preocupante cómo los bancos dejan la administración y desarrollo de sistemas críticos exponiendonos como usuarios. Si no son blanco de ataques más frecuentemente, es sólo porque las implicancias de ejecutar un ataque contra un banco o entidad financiera son muy altas en términos legales.
Lejos de ser un caso aislado, terminamos este blog con un enlace de Kaspersky en el cual exponen el CARBANAK APT: Ciberataque dirigido a cajeros ATM. Un nuevo tipo de malware bancario denominado Tyupkin,
que facilitaba a los criminales la obtención de control completo sobre
los cajeros automáticos, permitiéndoles el robo de importantes
cantidades de dinero en efectivo sin necesidad de uso de tarjetas de
crédito o débito
Y dejamos este enlace para aquellos entusiaste en el hacking que desean conocer un poco más de como poder burlar esos sistemas que siguen sin preocuparse por la seguridad digital.
