Con tantas violaciones de datos importantes en las noticias recientemente, es posible que se pregunte cómo se protegen sus datos cuando está en línea. Cuando ingresa a un sitio web para hacer algunas compras e ingresa su número de tarjeta de crédito, con suerte, en unos días, un paquete llega a su puerta. Pero en ese momento antes de presionar Ordenar, ¿te preguntas cómo funciona la seguridad en línea?
Los fundamentos de la seguridad en línea
En su forma básica, la seguridad en línea, la seguridad que tiene lugar entre una computadora y un sitio web, se realiza a través de una serie de preguntas y respuestas. Escribes una dirección web en un navegador y luego el navegador le pide a ese sitio que verifique su autenticidad. El sitio responde con la información adecuada y, después de que ambos estén de acuerdo, el sitio se abre en el navegador web.
Entre las preguntas formuladas y la información intercambiada se encuentran datos sobre el tipo de cifrado que transmite la información del navegador, la información de la computadora y la información personal entre el navegador y el sitio web. Estas preguntas y respuestas se llaman un apretón de manos. Si ese apretón de manos no se lleva a cabo, entonces el sitio web que está intentando visitar se considera inseguro.
HTTP frente a
- Abierto para que cualquiera lo vea en el camino.
- Más fácil de configurar y ejecutar.
- Sin seguridad para contraseñas y datos enviados.
- Totalmente encriptado para ocultar información.
- Requiere configuración de servidor adicional.
- Protege la información transmitida, incluidas las contraseñas.
Una cosa que puede notar cuando visita sitios en la web es que algunos tienen una dirección que comienza con http y otros comienzan con https. HTTP significa Protocolo de Transferencia de Hipertexto; es un protocolo o conjunto de pautas que designan la comunicación segura a través de Internet.
Algunos sitios, especialmente sitios en los que se le pide que proporcione información confidencial o de identificación personal, pueden mostrar https en verde o en rojo con una línea que lo atraviesa. HTTPS significa Protocolo de transferencia de hipertexto seguro y verde significa que el sitio tiene un certificado de seguridad verificable. Rojo con una línea que lo atraviesa significa que el sitio no tiene un certificado de seguridad, o el certificado es inexacto o está vencido.
Aquí es donde las cosas se ponen un poco confusas. HTTP no significa que los datos transferidos entre una computadora y un sitio web estén encriptados. Solo significa que el sitio web que se comunica con el navegador tiene un certificado de seguridad activo. Solo cuando se incluye un S (como en S) los datos que se transfieren son seguros, y hay otra tecnología en uso que hace que esa designación sea segura posible.
SSL frente a TLS
- Desarrollado originalmente en 1995.
- Nivel anterior de encriptación web.
- Rezagado con respecto al rápido crecimiento de Internet.
- Comenzó como la tercera versión de SSL.
- Seguridad de la capa de transporte.
- Continuamos mejorando el cifrado utilizado en SSL.
- Se agregaron correcciones de seguridad para nuevos tipos de ataques y agujeros de seguridad.
SSL era el protocolo de seguridad original para garantizar que los sitios web y los datos que se pasaban entre sitios fueran seguros. Según GlobalSign, SSL se introdujo en 1995 como versión 2.0. La primera versión (1.0) nunca llegó al dominio público. La versión 2.0 fue reemplazada por la versión 3.0 dentro de un año para abordar las vulnerabilidades en el protocolo.
En 1999, se introdujo otra versión de SSL, llamada Transport Layer Security (TLS), para mejorar la velocidad de la conversación y la seguridad del protocolo de enlace. TLS es la versión que está actualmente en uso, aunque a menudo se la conoce como SSL en aras de la simplicidad.
Comprender el protocolo SSL
- Oculta la información establecida entre una computadora y un sitio web.
- Protege la información de inicio de sesión.
- Asegura las compras en línea.
- No protege contra todas las amenazas.
- No puedo protegerlo en sitios que no usan SSL.
- No se pueden ocultar los sitios web que visitas.
Cuando considera compartir un apretón de manos con alguien, eso significa que hay una segunda parte involucrada. La seguridad en línea es muy parecida. Para que se produzca el apretón de manos que garantiza la seguridad en línea, debe haber una segunda parte involucrada. Si HTTPS es el protocolo que utiliza el navegador web para garantizar la seguridad, entonces la segunda mitad de ese protocolo de enlace es el protocolo que garantiza el cifrado.
El cifrado es la tecnología que se utiliza para disfrazar los datos que se transfieren entre dos dispositivos en una red. Se logra convirtiendo caracteres reconocibles en galimatías irreconocibles que se pueden devolver a su estado original mediante una clave de cifrado. Esto se logró originalmente a través de una tecnología llamada seguridad Secure Socket Layer (SSL).
SSL era la tecnología que convertía los datos que se movían entre un sitio web y un navegador en un galimatías y luego volvían a ser datos. Así es como funciona:
- Abres un navegador y escribes la dirección de tu banco.
- El navegador web llama a la puerta del banco y te presenta.
- El portero verifica que eres quien dices ser y accede a dejarte entrar bajo una serie de condiciones.
- El navegador web acepta esas condiciones y luego se le permite acceder al sitio web del banco.
El proceso se repite cuando ingresa su nombre de usuario y contraseña, con algunos pasos adicionales.
- Ingresas tu nombre de usuario y contraseña para acceder a tu cuenta.
- Su navegador web le dice al administrador de cuentas del banco que desea acceder a su cuenta.
- Conversan y acuerdan que si puede proporcionar las credenciales correctas, se le otorgará acceso. Sin embargo, esas credenciales deben presentarse utilizando un lenguaje especial.
- El navegador web y el administrador de cuentas del banco acuerdan el idioma que se utilizará.
- El navegador web convierte su nombre de usuario y contraseña en ese idioma especial y se los pasa al administrador de cuentas del banco.
- El administrador de la cuenta recibe los datos, los descodifica y los compara con sus registros.
- Si sus credenciales coinciden, tendrá acceso a su cuenta.
El proceso tiene lugar en nanosegundos, por lo que no se da cuenta del tiempo que tarda la conversación y el apretón de manos entre el navegador web y el sitio web.
Cifrado TLS
- Cifrado más seguro.
- Oculta datos entre una computadora y sitios web.
- Mejor proceso de negociación al negociar comunicaciones cifradas.
- Ningún cifrado es perfecto.
- No protege automáticamente el DNS.
- No totalmente compatible con versiones anteriores.
Se introdujo el cifrado TLS para mejorar la seguridad de los datos. Si bien SSL era una buena tecnología, la seguridad cambia a un ritmo rápido y eso llevó a la necesidad de una seguridad mejor y más actualizada. TLS se creó en el marco de SSL con mejoras en los algoritmos que rigen las comunicaciones y el proceso de negociación.
¿Qué versión de TLS es la más actual?
Al igual que con SSL, el cifrado TLS ha seguido mejorando. La versión actual de TLS es 1.2, pero se ha redactado TLSv1.3 y algunas empresas y navegadores han utilizado la seguridad durante períodos breves. En la mayoría de los casos, vuelven a TLSv1.2 porque la versión 1.3 aún se está perfeccionando.
Cuando finalice, TLSv1.3 traerá numerosas mejoras de seguridad, incluida una mejor compatibilidad con los tipos de cifrado más actuales. Sin embargo, TLSv1.3 también eliminará la compatibilidad con versiones anteriores de los protocolos SSL y otras tecnologías de seguridad que ya no son lo suficientemente sólidas para garantizar la seguridad y el cifrado adecuados de los datos personales.