Artículos

El lado oscuro de las comunicaciónes bajo protocolos seguros – Pablo Yglesias

SSL

Conforme la expansión de SSL como protocolo de comunicación por defecto en el mundo digital se va materializando, me surgen algunas dudas que creo importante señalar.

Es, de facto, un tema al que le he dedicado ya bastantes artículos. En ese escenario de comunicaciones inseguras, tuvo que llegar un whistleblower como Snowden para exponer masivamente la realidad que estábamos viviendo: que la seguridad no era un punto deseable, sino necesario para salvaguardar nuestros derechos como ciudadanos.

Bajo ese prisma, nacen proyectos como Let’s Encrypt, con entes de reputado prestigio como la EFF y la fundación Mozilla, así como acercamientos desde entornos a priori bastante adecuados como el que ofrece CloudFlare con su SSL flexible, que no han hecho más que democratizar el acceso a protocolo seguro de cara a los administradores de servicios.

Porque aquí radica el principal handicap que hasta ahora teníamos: contar con un servicio cuyas comunicaciones se hicieran bajo protocolo seguro requería de una inversión que aunque baja (entre 70 y 500 euros anuales), echa para atrás a buena parte de esos proyectos incipientes, así como aquellos que aún no cuentan o no piensan contar con un modelo de negocio estable (como es el caso de esta humilde morada).

Que Google decida considerar el SSL como un aspecto más a la hora de posicionar una página frente a la competencia es otro movimiento a favor de su implantación, como lo es que las nuevas arquitecturas de comunicación (HTTP/2, por ejemplo) requieran, según el servidor donde está corriendo el servicio, que las comunicaciones se hagan vía SSL.

Al final, hay un interés de toda la industria porque en efecto el tráfico online se realice de manera privada, lo cual, sin lugar a dudas, es beneficioso Y pese a ello, es necesario tener en cuenta que el cambio también arroja algunos puntos grises.

Hacia una internet menos descentralizada

Uno de ellos lo traté en profundidad recientemente. La cuestión es que para habilitar un SSL es necesario que alguien certifique la autoría de esa comunicación segura.

En teoría, uno mismo puede autofirmar un SSL en su servidor. El problema es que entonces esa comunicación no se considerará segura, ya que el navegador del cliente, al desconocer la firma de un servidor, mostraría una alerta de potencial peligro que de seguro echaría para atrás a buena parte del tráfico. Aunque en efecto la firma sea legítima y las comunicaciones se estén realizando de forma cifrada.

Por ello, lo que se obtiene con el cambio, además de lo obvio (comunicación cifrada), es una mayor centralización del mundo online, al tener que pasar todo ese tráfico por las manos (firmas) de unos cuantos grandes certificadores.

Un paso de tuerca más que rompe esa supuesta internet descentralizada que hemos ido poco a poco perdiendo, y que adelanta un problema aún mayor: ¿Qué pasará con todas esas páginas ya no actualizadas que irán paulatinamente desapareciendo de las búsquedas no porque su contenido carezca ya de valor, sino porque no cuentan con las tecnologías que a día de hoy requiere la industria?

Una marginación de la web verdaderamente independiente frente a un escenario más centralizado, más controlado, y de paso, más seguro.

O al menos esa es la teoría, ¿verdad?

El SSL como sistema de confianza para la industria del crimen

Porque lo que es bueno para algo, suele tener su parte mala.

En este caso, ésta viene dada por el uso que ya están empezando a hacer la industria del cibercrimen de las comunicaciones seguras. Principalmente de dos maneras:

  • Como herramienta de ofuscación: Una de las máximas habituales de un ataque es que la víctima no se de cuenta, al menos hasta que sea demasiado tarde. Cifrando las comunicaciones de la pieza de código con el centro de control (botnets, APTs, ransomware,…), obtenemos una capa más de ofuscación que complica el trabajo de los equipos azules (departamento de IT) de las empresas atacadas. En 2013 Gatner ya pronosticaba que para el 2017, el 50% de los ataques se harían bajo protocolos seguros, y la cosa seguramente acabe por materializarse en los próximos meses.
  • Como sistema de confianza: Este otro punto me preocupa aún más, y es que hasta ahora, uno de los mantras más habituales que los que estamos metidos en esto de la seguridad defendíamos frente al grueso de la sociedad, era que siempre que nos queramos conectar a la página de nuestra entidad bancaria (por poner un ejemplo de servicio donde la privacidad y seguridad es crítica), nos cercioráramos de que existía un candadito verde en el box de búsqueda. Con la democratización del SSL, esto solo asegura que la comunicación se hace de forma segura, pero no que estamos en verdad en la página correcta.

El cambio parece baladí pero le aseguro que no lo es. El problema es que ya ha costado que la sociedad se fije en ese punto, como para ahora hacerles comprender que el que exista un candadito verde no significa que estemos seguros, simplemente que nos comunicamos de manera segura con un servidor, pudiendo ser éste legítimo o de la industria del crimen.

Se rompe así un sistema de confianza que hasta ahora, debido a que para certificar el SSL había que pasar por unos controles más rigurosos, estaba vigente, con todo lo que ello entraña.

Porque el phishing que veremos a partir de ahora vendrá, sí o sí, firmado por entidades como Let’s Encrypt o SSL Flexible de CloudFlare. Es un paso que apenas les va a llevar unas horas, y gracias a ello, mejorará la tasa de éxito de las campañas maliciosas.

¿Que les acaban pillando? Por supuesto, pero ¿qué ciclo de vida medio tiene una página de phishing? Le aseguro que suele ser de días, cuando no de horas. No es algo por tanto que les preocupe en demasía.

Es, de facto, un cambio de paradigma verdaderamente contraproducente para un protocolo cuyo pilar es precisamente ofrecer mayor seguridad y privacidad en las comunicaciones. Y además, no tiene solución alguna más que la continua formación del usuario, que sin lugar a dudas llevará bastantes años.

Porque romper un sistema de confianza es aún más complicado que adquirir uno nuevo. Una vez ya tenemos constancia de que algo funciona, resulta más difícil que aceptemos que a partir de ahora esa máxima ya no se cumple.

Una debilidad humana, para variar. Esa misma que nos va a pasar aún más factura de aquí en adelante…