Después del robo de los certificados digitales a DigiNotar y ver cómo se han comprometido los certificados de Mozilla, Google, Tor, Wordpress o la mismísima CIA, el contexto es el adecuado a que dediquemos un momento a hablar de los certificados digitales, el SSL y su importancia para garantizar una navegación segura a los usuarios.
La navegación segura
Antes de entrar en materia, vamos a dedicar unos instantes a entender lo que significa una navegación segura. Normalmente, cuando navegamos por la red, encontramos sitios cuya url comienza por https, es decir, una navegación web en el que el protocolo de transporte que utilizamos es seguro, concretamente SSL/TLS y en el que se crea un canal cifrado para el intercambio de información entre el usuario y el servidor (normalmente información sensible o de índole personal) y, gracias a este cifrado, la comunicación no podría ser interceptada por alguien que aplicase un sniffer en nuestra red, por ejemplo.
Al cifrar el tráfico estamos garantizando nuestra privacidad puesto que todo el intercambio de información viaja a través de un canal seguro que hemos establecido con el servidor al que nos estamos conectando. De hecho, el cifrado no se aplica únicamente a la navegación web sino que también se aplica en otros servicios como la mensajería instantánea o el correo a través de POP o IMAP.
Si intentamos acceder a un sitio web seguro, se iniciará una negociación para fijar el algoritmo que se usará para cifrar la comunicación y se procederá al intercambio de claves públicas y autentificación basada en certificados digitales que, tras su validación, dará inicio a la comunicación cifrada.
Hay que tener en cuenta que se utiliza un cifrado asimétrico y, por tanto, se maneja una clave privada (que utiliza el usuario) y una pública (que se envía), de manera que la clave pública es capaz de descifrar, únicamente, los mensajes cifrados por la clave privada (sin que ésta sea revelada). Algo así como enviar una carta que puede ser abierta por cualquier persona pero cuyo membrete o firma asegura quién es el que la envía.
¿Qué es un certificado digital?
Un certificado digital o certificado de clave pública es un documento digital firmado por una autoridad fiable que garantiza que un sitio web es quien dice ser y que, por tanto, la clave pública que nos hará llegar le pertenece. La existencia de la firma en el certificado asegura, por parte de la autoridad de certificación que la firma, que la información de la identidad y la clave pública pertenecen al mismo usuario o entidad.
Nuestro navegador, cuando accede a un sitio web que está bajo SSL, recibe el certificado digital del sitio web y verifica que éste venga firmado por una autoridad digital conocida y, si no es el caso, el navegador reaccionará indicándonos que el sitio web puede no ser seguro y que, por tanto, debemos aceptar la excepción aceptar dicho certificado como válido.
La autoridad certificadora como notario digital
La autoridad certificadora es una pieza clave en todo este sistema de "confianza digital" puesto que actúa de notario dando fe de que un certificado pertenece a un sitio web y, por tanto, podemos confiar en él. El caso de DigiNotar ha trastocado este sistema puesto que, al sustraerle los certificados y estar considerada una autoridad de confianza, los internautas iraníes fueron víctimas de un gran engaño.
Todos los navegadores llevan cargados una amplia lista de autoridades certificadoras de confianza que, prácticamente, abarcan todas las páginas web existentes aunque, por ejemplo en España, la Fábrica Nacional de Moneda y Timbre (FNMT) sólo es incluida por Internet Explorer y las páginas de algunas Administraciones Públicas se marcan como inseguras en Firefox o Chrome.
La confianza de los usuarios en las autoridades certificadoras es la base del modelo pero, realmente, no existe ningún proceso que demuestre que una autoridad merece la confianza de los usuarios, más allá de ser reconocida por el navegador. Por tanto, si una autoridad de certificación, reconocida por nuestro navegador, nos indica que un sitio web es seguro, confiaremos en él.
¿Por qué usar una navegación segura?
Como hemos comentado al inicio, una navegación segura nos garantiza que la transacción que vamos a realizar está totalmente cifrada y, por tanto, libre de ojos curiosos. Fundamentalmente, una navegación segura nos aportará:
Confidencialidad de los datos transmitidos e intercambiados con un sitio web o con nuestro servidor de correo electrónico, por ejemplo. Integridad de los datos intercambiados * Seguridad de que el sitio web al que estamos accediendo es el correcto y no uno que lo "imita" con el objetivo de cazar nuestros datos (por ejemplo, en los casos de phishing)
Firesheep, el pasado otoño, nos demostró que cualquiera podía estar "escuchando" nuestras comunicaciones y, en determinados casos, podíamos arriesgarnos a que nos robasen nuestra identidad en las redes sociales, por citar un ejemplo.
¿Qué sitios web utilizan certificados digitales?
Los certificados digitales y, por tanto, la navegación segura, se utilizan en muchos sitios web que usamos a dirario. Prácticamente, todos los servicios de correo web (Gmail, Hotmail, etc) ofrecen una navegación cifrada, puesto que se entiende que los mensajes son de índole personal y pueden contener datos que no deberían ser revelados a cualquiera. Poco a poco, sobre todo en este año, las redes sociales también han incorporado el uso del SSL en sus comunicaciones, algo que lo que siempre eran reacias porque ralentizaba la comunicación pero que, al final, han tenido que implementar para garantizar la privacidad (en la comunicación) de sus usuarios.
Pero si hay un ámbito en el que los certificados digitales son fundamentales ese es el de las transacciones económicas: comercio electrónico y banca online (sobre todo ésta última que es el objeto de todos los intentos de phishing). Cuando realizamos transacciones económicas la seguridad es fundamental puesto que si vamos a enviar nuestro número de tarjeta de crédito o el de nuestra cuenta bancaria, tendremos que asegurarnos que el sitio web al que enviemos esa información es quien dice ser. Suele ser habitual recibir correos de spam que imitan los de entidades bancarias conocidas y que remiten a páginas web cuya url real es un servidor que ofrece una página web falsa pero que imita la de nuestro banco, con la salvedad que esta página no está bajo SSL ni tampoco presenta las credenciales del sitio web de nuestra entidad de bancaria, detalle que delata al sitio y que, por tanto, debemos revisar.
Algunos consejos prácticos
Como decía el título de una conferencia de la abogada Paloma LLaneza, "mis datos son míos" y, por tanto, debemos asegurarnos que no se los entregamos a cualquiera y que tampoco viajan de cualquier manera. Con tal fin, vamos a terminar con algunas recomendaciones:
Es muy importante que activemos el uso de SSL en servicios como Twitter o Facebook, es algo que podemos encontrar en las opciones de configuración de estas redes sociales.
Si recibimos un correo electrónico que, supuestamente, es de nuestro banco con un enlace, deberíamos andarnos con precaución y verificar que el sitio web al que nos lleva realmente es el de nuestro banco. Para ello debemos comprobar el certificado de dicho sitio web. Una web que es segura se distingue porque en la barra de direcciones aparece el símbolo de un candado que está cerrado y que, por tanto, ante sitios web inseguros se muestra como un candado abierto.
Después del escándalo de DigiNotar, Mozilla, Microsoft y Google han lanzado actualizaciones para solventar el problema (en algunos casos eliminando a Diginotar como autoridad certificadora de confianza). Es importante actualizar el navegador ahora y mantenerlo siempre actualizado.
Es una buena práctica comprobar los certificados de las páginas web que visitamos, sobre todo si son de autoridades certificadoras que no están reconocidas por nuestro navegador. Debemos acostumbrarnos a leer las advertencias que nuestro navegador nos muestra y no obviarlas porque la seguridad de nuestros datos es la que está en juego.
- No debemos enviar datos personales o sensibles a páginas web que no sean seguras, es decir, que no estén bajo SSL y, por lo tanto, no nos muestren un certificado digital válido.
