La campaña de Google digital se preocupa en marcar a los sitios web que utilizan protocolos débiles.

 

Seguridad El ABC 18.03.15

Nunca me imagine los problemas que podría tener cuando decidi concretar una compra on-line.  Google Chrome advirtió que el sitio web que visité estaba «encriptado con una  criptografía obsoleta».

También tenía «la configuración de seguridad obsoletas» de tal manera que las futuras versiones del navegador web podían brindarme una gran inseguridad si accedia a ellas.  Me percate que debria haber  un candado verde a la izquierda de una dirección de Internet al ingresar datos de la tarjeta, o incluso cuando introduzca cualquier información sensible. La cerradura indica el sitio es de confianza y que la conexión es segura.

Pero al hacer el pedido con impaciencia de lo que prometía ser mi orgullosa compra, me enfrenté con un triángulo amarillo en la parte superior de la cerradura gris. Dicho triangulo me advertia de la inseguridad y, por extensión, definia la culpabilidad de los propietarios del sitio por sus pobre practicas de seguridad.

Gracias a Google advertimos del peligro y dicho accionar es parte de una campaña para hacer cumplir mejor las normas de seguridad en la web. La postura adoptada por Google con su navegador Chrome es más agresivo que sus rivales Microsoft y Mozilla.

Teniendo en cuenta lo que está en juego, vale la pena preguntarse dónde estaríamos sin Google en este caso, y es un pensamiento me parece bastante desconcertante.

Para entender lo que está detrás de todo esto, considere el siguiente interrogante: ¿Cómo puedo confiar una relación entre personas que no han cumplido y que nunca van a cumplir?

Los mercados en línea como eBay utilizan sistemas de clasificación para convencer a los extraños de completar las transacciones entre sí. Pero ¿qué pasa con los actos de confianza que se producen cuando se conecta a sitios web e introducimos datos sensibles?

Tome una persona (vamos a llamarlo Gunther) que visita el sitio www.ninjaduck.com. Duck Ninja Inc es propiedad de Dave, que aloja el sitio de la compañía en un equipo en su sótano.

Dave quiere que Gunther se sienta seguro siempre que visite www.ninjaduck.com, que realmente este conectado con el sitio web de bienes Duck Ninja, y  que pueda comprar  los patos ninjas sin que su tarjeta de crédito este comprometidas.

Lo que Dave tiene que hacer es obtener una forma especial de identificación para su sitio web, llamado un «certificado». Si lo hace bien, el candado se mostrará cuando Gunther visite Duck Ninja.

La oficina de identificación emisor se llama una «autoridad de certificación». Esta autoridad, que puede ser una empresa privada o una empresa del Estado, realiza verificaciones sobre Dave y Ninja Duck. De ahora en adelante, cuando Gunther visita www.ninjaduck.com, el equipo de Dave envía al navegador de Gunther el certificado de identificación como un archivo. El certificado contiene los detalles necesarios para establecer una conexión segura.

Ahora imagine por un momento que usted es un guardia de fronteras. A una milla de distancia se encuentra una persona cuyo pasaporte es necesario comprobar. Mientras la persona viene hacia usted, dicho pasaporte se puede manipular en una  cadena de cientos de personas. ¿Usted confiaría en que nadie se metió con el pasaporte y que cuando llegue a usted provenga de su dueño auténtico? Por supuesto que no. Lo mismo sucede con un certificado enviado a través de una cadena de computadoras – en otras palabras, a través de Internet .

Esta es la razón por la cual los certificados vienen con una firma especial. Esta firma es una secuencia de letras y números producidos al pasar la mayor parte del certificado a través de un «algoritmo de seguridad criptográfica» que luego queda encriptado. Los algoritmos de seguridad son tan especiales en sus propiedades matemáticas que sólo hay siete considerados adecuados para su uso. Y, por desgracia, los avances en tecnología significan que alguno de ellos no necesariamente mantienen la misma seguridad por siempre.

Lo explicado surge en razón de mi compra on-line. El certificado del sitio web, estaba en con » Algoritmo de Seguridad 1″ (SHA-1 – Security Hashing Algorithm 1) para su firma.

A medida que el equipo de Google puso, SHA-1 «ha sido conocido por ser considerablemente más débil de lo que fue diseñado para ser por lo menos desde 2005». Una encuesta reciente encontró SHA-1 en uso en más de un 60 por ciento de los certificados.

Por el momento, el riesgo de utilizar SHA-1 es bastante hipotético. Pero, debemos saber  que existen algoritmos de seguridad más sólidos disponibles. Tal vez el pequeño triángulo amarillo debe ser reemplazado con un cráneo y las tibias cruzadas o el símbolo de la radiactividad. De no ser por la gracia de Google ,…es lo que hay.

Lisa Pollack
lisa.pollack@ft.com
http://www.ft.com/intl/cms/s/0/f53fe1ae-c98a-11e4-b2ef-00144feab7de.html?ftcamp=crm/email/2015318/nbe/CompaniesBySector/product#axzz3Uk0XRZI6

También te podría gustar...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.