Por fin hemos llegado a un punto en el que todos somos más conscientes de la seguridad y la privacidad de los datos. Además de esta mayor preocupación, la persistente pandemia ha incrementado el número de teletrabajadores, lo que hace que las prácticas de ciberseguridad sean ahora aún más importantes.
Sin embargo, cabe preguntarse si Internet es un entorno lo suficientemente seguro. En este punto es donde las Autoridades de Certificación (AC) desempeñan un papel crucial. De hecho, cada vez que visitamos un sitio web que empieza por HTTPS, estamos utilizando una AC. En realidad, si no existieran las AC, la navegación por Internet sería muy distinta de como la conocemos hoy en día. El pago de impuestos, las compras online, la banca online, entre otras muchas cosas, sencillamente no serían posibles.
Siga leyendo para conocer todas las implicaciones de las Autoridades de Certificación y cómo trabajan para protegernos de los hackers mientras usamos Internet.
¿Qué es una Autoridad de Certificación?
Según las estimaciones publicadas en noviembre de 2019 por la Oficina de Análisis Económico de EE. UU. (BEA), la renta personal de los hogares se ha incrementado en un 0,5%. Este enriquecimiento ha favorecido, a su vez, que los hogares aprovechen la comodidad de Internet para hacer sus transacciones bancarias, compras, etc. Otra consecuencia es el incremento de las visitas a sitios o páginas web de entidades bancarias, donde se solicita la introducción de datos bancarios.
Sin embargo, todos sabemos que las cosas no siempre son lo que parecen en Internet. Quizá creamos estar visitando el sitio web de una empresa en particular cuyo dominio indica que, efectivamente, se trata de esa empresa. Sin embargo, ¿cómo podemos comprobar que en realidad estamos conectando con un servidor controlado por la empresa en cuestión? ¿Podría ser un sitio web desarrollado por un hacker que trata de hacerse con nuestros datos personales?
Este tipo de problemas son los que resuelven las AC. Nos informan de que estamos conectando con un sitio web auténtico, ya que previamente han verificado dicho sitio web o la organización subyacente. De esta forma, reducimos las posibilidades de enviar nuestros datos bancarios a un hacker.
En términos técnicos, una Autoridad de Certificación, o AC, es una organización de confianza que se encarga de verificar sitios web y otras entidades. Estas organizaciones ayudan a los visitantes a saber con seguridad con quién se están comunicando a través de Internet, lo que convierte a este ecosistema en un lugar mucho más seguro tanto para las organizaciones como para los usuarios. De forma resumida, una AC desempeña un papel esencial en la seguridad digital, y también en la confianza digital.
Todos los usuarios de Internet pueden comprobar si un dominio ha sido verificado haciendo clic en el candado de la barra del navegador. ¡Inténtelo usted mismo! Verá claramente los datos del certificado SSL/TLS de un sitio en particular y sabrá que detrás de este certificado hay sistemas de cifrado operando.
La mayor familiarización con las AC también ha llevado aparejado un incremento de las creencias erróneas, razón por la cual es necesario que los usuarios accedan a información fidedigna para evitar caer presas de los ciberdelincuentes.
¿Qué hace una AC para proteger a los visitantes frente a los hackers?
En esencia, una AC verifica los sitios web para determinar si son legítimos o no. Por supuesto, existen vulnerabilidades específicas a las que debemos prestar atención, aunque estas autoridades son, sin duda, un buen indicador de fiabilidad.
Las tres tareas esenciales que realiza una AC son:
1. Confirmación de la identidad del titular del certificado
La información sobre la identidad suele integrarse en el certificado. La tarea de una AC es garantizar que esta información es válida.
2. Emisión de certificados
Cualquier recurso informático o usuario necesita contar con una identidad, además de una forma de demostrar su validez. Los recursos informáticos más comunes incluyen un servidor SSH o un sitio web. La emisión de certificados por parte de la AC permite validar las identidades.
Podríamos pensar en este tipo de certificados como una versión electrónica del carné de conducir, es decir, un archivo que contiene información sobre la identidad del titular.
3. Demostración de la validez de los certificados
Otra responsabilidad de las AC es garantizar la validez de los certificados. La validez de un certificado suele fallar por los siguientes motivos:
- Al vencimiento, como en el caso del carné de conducir.
- Después de su revocación.
- Cuando ha sufrido manipulaciones.
La principal responsabilidad de una AC es ofrecer pruebas de que un certificado determinado sigue siendo válido. Para ello, respaldan la autenticidad del certificado, que, a su vez, permite a los usuarios confiar en mayor medida en el sitio web. Sin embargo, esta realidad no debe sorprender a nadie, ya que el 63,7% de todos los sitios web usa HTTPS, la versión segura del protocolo HTTP.
En realidad, los certificados no están indicados únicamente para sitios web, sino que también refuerzan los niveles de seguridad de los dispositivos de la IoT y la nube.
¿Cómo funciona una Autoridad de Certificación?
Una vez que conocemos sus responsabilidades, pasaremos a ver cómo funciona exactamente una AC.
El proceso se inicia cuando un solicitante genera un par de claves privada y pública. A continuación, el solicitante envía una solicitud conocida como solicitud de firma de certificado (CSR) a una Autoridad de Certificación de confianza. La CSR incluye toda la información relevante sobre la solicitud, que se mostrará en el certificado resultante, en caso de que finalmente sea aprobado.
Después de recibir la solicitud, la Autoridad de Certificación verifica la autenticidad de la información de la CSR. Cuando se determina la credibilidad de la solicitud, la Autoridad de Certificación emite y asigna un certificado usando la clave privada para, posteriormente, transmitirlo al solicitante para que lo use.
Algunas AC podrían plantear también al solicitante una serie de preguntas de verificación. El objetivo es garantizar que el dominio solicitado está realmente bajo el control del solicitante. En ocasiones, el solicitante debe firmar con su clave privada para demostrar que controla el par de claves. Una vez confirmadas las preguntas de verificación y completada la firma, el solicitante tiene autorización para solicitar, renovar y revocar los certificados de su sitio web.
Por último, el solicitante puede usar el certificado firmado para ejercer un control adecuado: HTTPS para el acceso web y SSH para el acceso a servidores remotos.
Una vez que el solicitante recibe el sello de aprobación, incluso después de realizar cambios en los sitios web o en la configuración de la infraestructura, los visitantes pueden confiar en que estos cambios proceden del propietario legítimo, y pueden descartar que se trate de un hacker tratando de engañar a individuos confiados.
Protección de identidades digitales, certificado a certificado
Internet entraña una curiosa paradoja. A pesar de proporcionarnos toda la información que necesitamos con una comodidad insuperable, es un lugar relativamente inseguro en lo que respecta a los datos y la privacidad.
Existen numerosas amenazas al acecho en forma de violación de datos, robo de identidades, ciberataques y otros riesgos similares. Esta realidad, en el contexto de la pandemia de coronavirus, no ha hecho más que empeorar las cosas, razón por la cual la mejora de las ciberdefensas debe ser una prioridad absoluta para todos.
La existencia de terceros de confianza, como las AC, contribuye a hacer de Internet un lugar más seguro para todos, ya sean usuarios u organizaciones. Todos los sitios web deberían contar con un certificado SSL/TLS para tratar de minimizar los delitos en Internet, así como los costes asociados.
Nota: esta publicación en el blog fue redactada por un colaborador invitado con el objetivo de ofrecer una mayor variedad de contenidos a nuestros lectores. Las opiniones expresadas por el autor del artículo son exclusivamente suyas y no reflejan necesariamente las de GlobalSign.
