Contestando a la pregunta del titular podría decirse que sí, que las redes -HTTP, SMTP o FTP- son inseguras por defecto. ¿La causa? la misma evolución de la tecnología. Los más populares protocolos se diseñaron mucho antes de que pudieran verse los riesgos que se darían en el futuro. Por ello, en la mayoría de los casos las redes necesitan una seguridad extra como la que proporciona TLS, que ofrece múltiples aplicaciones.
Las redes son inseguras por defecto porque la autenticación que ofrecen es muy débil, depende normalmente de contraseñas controladas por reglas de dudosa fiabilidad. Por ello es aconsejable utilizar contraseñas largas y difíciles de recordar, y cambiarlas con cierta frecuencia. No garantizan la privacidad en las comunicaciones ni la integridad de los datos en su tránsito. De ahí que no podamos saber si un usuario, servidor, programa… es quién dice ser, o si nuestras comunicaciones o intercambio de datos han sido interceptados y monitorizados.
Para mejorar los tradicionales protocolos de red de forma que admitan cifrados habitualmente se utiliza el protocolo de túnel TLS (Transport Layer Security), también conocido como TLS/SSL (seguridad en capa de transporte, basado en el cifrado). Proporciona una seguridad ubicua, dando lugar a HTTPS, SMTPS o FTPS, entre otros. En un artículo anterior ya os hablaba de este protocolo y sus características, Cómo debe ser la seguridad web de una empresa. Su popularidad viene dada gracias a su gran flexibilidad, que ofrece multitud de aplicaciones.
Además de asegurar las sesiones del navegador web, también protege las comunicaciones entre servidores, el correo electrónico, las comunicaciones entre cliente y servidor, las actualizaciones de software, el acceso a bases de datos, túneles para establecer conexiones con centralitas IP, PBX-IP, VoIP, ToIP, las redes privadas virtuales (VPN), nubes privadas virtuales (VPC) ,o redes inalámbricas, entre otros usos. En suma, trabaja en la capa de transporte blindando los datos en su viaje a través de las redes.
Está mucho más presente en nuestro día a día virtual de lo que nos imaginamos. Es de esas cosas que pasan desapercibidas, y normalmente lo que más pasa desapercibido es porque es algo que funciona. Sin embargo, cuando no se utiliza correctamente TLS puede dar la impresión de seguridad mientras que no la está dando, y puede estar comprometiendo las comunicaciones o el intercambio de información. Por ello es aconsejable mantener al día los certificados digitales y comprobar rigurosamente los posibles errores. ¿Os habéis parado a pensar quién puede estar «escuchando» nuestras comunicaciones cuando usamos un wifi abierto de alguien que «casualmente» se lo ha dejado así? – yo no dormiría tranquilo si hubiera enviado algún correo no cifrado con datos bancarios, o con alguna contraseña… por poner un ejemplo.
En su uso más popular, dar seguridad a servidores web propios e intranets, no hay que cometer el error de pensar que con implementar nuestro sitio web con TLS es suficiente para estar completamente seguros. Es importante controlar errores comunes en el diseño de las páginas web que pueden anular la efectividad de TLS:
- Mantener los datos más sensibles fuera de nuestra dirección URL, es decir, fuera del sitio web, para que no haya posibilidad de ser interceptados.
- Asegurar nuestras cookies. No hay que olvidar que a menudo las cookies (pequeños archivos de texto que se utilizan para recabar información) contienen datos sensibles. Hay muchos casos de secuestro de cookies por este motivo, por ello es fundamental reforzarlas. Y no es raro encontrar todavía sitios web importantes que usan en sus sesiones HTTPS cookies sin seguridad.
- No mezclar contenido con TLS con contenido sin TLS porque TLS puede quedar inhabilitado. Por ejemplo, si en un sitio web HTTPS hay una foto accesible con un enlace HTTP, el cifrado empieza a perder sentido. Tener esto en cuenta es importante para que no haya agujeros en el «escudo» de nuestra web, y muchos navegadores no advierten a los usuarios de esta incompatibilidad.
- No ejecutar redireccionamientos desde una página sin seguridad (HTTP) a una página de inicio de sesión con seguridad (HTTPS). Todavía hay muchos casos, incluso de bancos, que no utilizan TLS en sus páginas de inicio y desde ellas redireccionan a páginas que sí tienen. En estos casos sería mejor acceder a las páginas aseguradas con TLS (HTTPS) desde un marcador del navegador o escribiendo manualmente la dirección del sitio.
TLS proporciona encriptación, autenticación e integridad de verificación de los datos a través de certificados digitales (documento electrónico que confirma la identidad de un usuario, un servidor, una empresa, un software…) otorgados por autoridades de certificación competentes. Pero por sí sola esta tecnología no supone una seguridad inquebrantable. Prácticas o usos erróneos pueden anular su efectividad dejando agujeros, por pequeños que puedan parecer, que son precisamente los que buscan ciberdelincuentes o hackers para hacerse con información sensible de las empresas.