¿Qué es el cifrado de datos? ¿Qué es el SSL? Es algo a lo que actualmente ya se le da la importancia que tiene, prueba de ello es que Google ya está listando mejor aquellas webs que tienen cifrado SSL.
Para el que todavía no lo sepa, se trata de todas las páginas que muestran el candadito en la barra de direcciones del navegador.
Cuando los datos viajan por Internet
Cuando al principio Internet era usado por cuatro gatos, no tenía mucho sentido pensar en la necesidad de cifrar las comunicaciones.
Después la cosa comenzó a crecer y a crecer, llegó un momento en se inventó una cosa llamada Wifi, que permitía conectarse sin cables y los datos viajaban literalmente por el aire. Lo que vino después es el uso de dispositivos móviles, lo primero los Smartphones y después las Tablets, más datos que viajan por el aire.
Es un hecho que continuamente los datos viajan por Internet, cuando usamos la Web del banco, cuando enviamos un email, cuando vemos un vídeo en Youtube o cuando transferimos archivos.
No es difícil entender que cuando metes tus claves para acceder a cualquier servicio de la Nube, esas claves deben viajar por cable o por el aire. Viajan desde tu ordenador o dispositivo, posiblemente hacia otra parte del mundo. Se transmiten hacia a un ordenador que determina si esas claves son válidas y si corresponden a un usuario de verdad, esas claves deben llegar al servidor del servicio. Es en ese trayecto, es cuando alguien podría interceptar la comunicación y leer los datos que viajan por ella, en este caso esa clave o quizá un número de tarjeta de crédito.
Si el lector piensa que interceptar estas comunicaciones es demasiado complejo se equivoca. Esto no es como en la películas o como en el mundo de la telefonía, sabemos que para poner escuchas la policía necesita un orden judicial y estamos acostumbrados a ver como el cine representa esto poniendo un aparatito en los cables telefónicos. En el mundo de Internet existen varios mecanismos para hacer esto tanto si la información circula por el aire como si lo hace por cable.
Interceptar las comunicaciones de puertas adentro.
Aquellos que están pensando que el problema de la interceptación de las comunicaciones no les afecta porque trabajan en una red interna, con cable, dentro de la empresa, se equivocan. El 90% de las redes internas tanto particulares como de empresas son susceptibles de ser pinchadas incluso si no tienen Wifi.
Miles de empresas de todo el mundo disponen de redes basadas en cable y de servidores que tienen información o documentos sensibles propios de la actividad de la empresa.
Cuando el presidente de la empresa mete sus claves para acceder al servidor, estas claves están viajando por la red de la empresa. Espiar esos datos puede ser tan sencillo como instalar un Sniffer en la red. Se trata de un programa que lee las comunicaciones de la red. Para más información puede leer este artículo: Como funciona el Sniffing
Existen por supuesto redes internas seguras pero desgraciadamente no son la norma. Veo demasiados casos de empresas que argumentan que la Nube es insegura y que sus datos y comunicaciones están protegidos por tener instalaciones y servidores propios, lo que se llama on-premise, o sea servidores e infraestructuras en casa.
Interceptar las comunicaciones de Internet
Existen métodos más o menos sofisticados para interceptar las comunicaciones en Internet. Una vez desmontada la aparente seguridad que proporcionan las redes basadas en cable y que se usan en el interior de la empresa ahora pensemos en los datos que viajan por Internet.
El mayor problema es que nadie tiene ni idea de por dónde circulan los datos cuando hay comunicaciones por Internet. De hecho Internet se creó con objetivos militares en prevención de cortes de comunicación incluso en el escenario de guerras nucleares, esto quiere decir que los datos pueden viajar por diferentes lugares alternativos con el fin de alcanzar su destino.
Digamos que existen cables en diferentes lugares por dónde pasan los datos. En Alemania desde hace más de 20 años tuvieron la previsión de hacer canaletas junto a las autopistas para soterrar los cables de comunicaciones. Con los medios y dispositivos adecuados alguien podría recopilar los datos que pasan por ese cable, normalmente esto no ocurre pero es perfectamente posible.
En definitiva las compañías de comunicaciones o proveedores de Internet se encargan de que los datos circulen con fluidez por las redes y de que funcione, no tienen ninguna responsabilidad sobre si los datos son leídos en algún punto. Por supuesto tratan de evitarlo a toda costa, además las leyes en todos los países del mundo califican esto como delito, la cuestión es que puede ocurrir y de hecho ocurre.
El cifrado SSL al rescate.
Como hemos visto los datos viajan por el aire o por cable. De ambas formas pueden ser leídos por diversos métodos y dispositivos. Cuando los datos pasaron a circular por el aire con los Wifi y Smartphones se dotó a estos dispositivos de capacidad de cifrado para impedir las “escuchas”. El método estándar a nivel mundial de cifrado de datos es el SSL. Este cifrado es más conocido y visible cuando usamos el navegador y se muestra el candadito en la barra de direcciones.
Las siglas SSL significan Secure Socket Layer, se podría traducir como Capa de Conexión Segura. Simplemente consiste en cifrar los datos en las comunicaciones entre un punto y otro, evitando que alguien que se encuentre en medio pueda extraer la información que circula.
El cifrado es por si mismo una ciencia que se encuentra entre las matemáticas y la informática. No voy a entrar en detalles sobre su funcionamiento, lo básico es saber que si transmitimos una clave por Internet, digamos la peor clave usada por la gente “123456” cuando circula por la red cifrada, esta clave se transforma en algo ilegible:
“123456” -> “7c4a8d09ca3762af61e59520943dc26494f8941b”
Cuando usas el navegador e muy fácil saber si las comunicaciones están cifradas, miras el candadito. El problema es saber si las aplicaciones que usas en tu móvil o las que instalas en tu ordenador realizan comunicaciones cifradas. Pues aquí hay sorpresas, por ejemplo WhatsApp no ha tenido cifrado hasta hace bien poco y Dropbox estuvo años sin cifrado en las comunicaciones.
Con los bancos nunca hubo problemas porque siempre han cifrado las comunicaciones. ¿Pero el resto de las aplicaciones que se usan?
Con el resto de las aplicaciones nadie lo piensa. Millones de personas usan Outlook a diario, el email convencional no está cifrado, seguro que el lector alguna vez en su vida ha enviado claves, números de cuenta o cualquier otro dato sensible usando Outlook. Para enviar documentos sensibles está el correo seguro, de esto ya hablamos en otro artículo: El correo seguro no es una estupidez
Para tener garantías de que los datos se envían cifrados cuando usamos aplicaciones deberíamos de usar aplicaciones de confianza que cumplan las leyes de protección de datos.
El cifrado implica adquirir un Certificado
Para el cifrado SSL los propietarios de una web o las empresas que desarrollan aplicaciones han de adquirir lo que se llama un Certificado.
En el mundo de los proveedores de servicios de Internet existen multitud de empresas que nos proporcionan esos Certificados.
Veamos algunos ejemplos, basta con hacer click en el candadito de la barra de direcciones del navegador, en este caso usamos Mozilla Firefox.
El Certificado no solo proporciona cifrado SSL
Cuando las empresas adquieren un certificado no solo obtienen un medio para cifrar las comunicaciones. También es una forma de autentificar su presencia en Internet. Un certificado SSL demuestra que la empresa es real y legítima, la entidad certificadora confirma su autenticidad.
La mayoría del público en general ignora esta característica de las certificaciones o certificados SSL. Es lógico pensar que si vas a adquirir un certificado para Sony no lo consigas porque no podrás demostrar que eres el dueño de la marca Sony. Podrás intentarlo adquiriendo un dominio del tipo “sony.tv” o algo similar pero nunca te darán el certificado si la entidad certificadora es seria.
Los proveedores de certificados comprueban la autenticidad de la empresa solicitante y por eso pueden asegurar la autenticidad de la certificación.
Yo personalmente me encargo de las certificaciones de Dataprius, tanto de la web como de las aplicaciones. Nuestro proveedor principal de certificado es Digicert el mismo que usa Sony en el ejemplo anterior.
Dependiendo del tipo de certificado, se aporta a Digicert documentación y datos que demuestran la autenticidad del solicitante, estos datos suelen ser:
- Copia de las escrituras notariales de la constitución de la empresa.
- Registro mercantil de la empresa.
- Demostrar ser propietario del dominio a certificar. Por ejemplo de “dataprius.com”
- Proporcionar VAT de la empresa a nivel de la Unión Europea.
- Número de teléfono de contacto para que ellos realicen llamadas y contactar con el propietario.
- Recibo de pago del número de teléfono para demostrar que pertenece a la empresa.
- Número de registro en Dun & Bradstreet, estar registrados como empresa a nivel internacional.
- Estar registrados en páginas blancas o similares. Por ejemplo en Europages.
Con esta documentación la empresa certificadora realiza sus comprobaciones y proporciona el certificado.
Como vemos el certificado no solo sirve para cifrar las comunicaciones y hacerlas seguras, aporta garantías de autenticidad de la empresa que se encuentra tras esa web o tras esa aplicación.
Las aplicaciones en la Nube llevan cifrado de serie.
Muchas empresas escépticas de la Nube tienen como argumento la desconfianza en la seguridad de los productos Cloud. Sin tener en cuenta otros muchos factores para la seguridad, si tan solo consideramos el cifrado en la trasferencia de los datos podremos ver una enorme debilidad en sus argumentos. Por ejemplo y en nuestro caso podemos hablar del almacenamiento de archivos. Aquellas empresas con redes internas y que envían emails con Outlook no suelen tener en cuenta el cifrado de las comunicaciones, esto significa nada más y nada menos que la información viaja encomendándose a la divina providencia para que nadie intercepte esa información. Las aplicaciones de la Nube ya vienen dotadas de serie con el cifrado o encriptación de las comunicaciones. Incluso si se intentan leer los datos desde dentro de la propia empresa, los datos de la aplicación en Cloud estarán cifrados porque lo están en todo su recorrido por las redes.
A partir de ahora cuando alguien te diga que no se fía de la Nube habrá que preguntarle si en su red hay cifrado en la transferencia de datos y archivos.
ENLACES RELACIONADOS:
Las empresas, los rezagados y la evolución de la industria Cloud Computing
El correo seguro no es una estupidez. Es que no se entiende.
Organizar archivos en la empresa o tan solo almacenarlos en la Nube.
Gracias por la explicación. Me ayudará para mi trabajo.