Puntos de vista

Lo que todos necesitan saber sobre la base técnica de la privacidad digital

Byron Acohido, 9 diciembre 2019

Se están realizando esfuerzos para preservar la Infraestructura de clave pública y los certificados digitales en el núcleo de la ciberseguridad.

Durante décadas, la piedra angular de la seguridad de TI ha sido la Infraestructura de clave pública, o PKI (sitio en inglés), un sistema que le permite cifrar y firmar datos, emitiendo certificados digitales que autentican la identidad de los usuarios. 

Si eso suena demasiado complicado de entender, echa un vistazo a la dirección web del sitio de Avast Blog: https://blog.avast.com/es . ¿Ves cómo comienza con HTTPS? La S en HTTPS significa "seguro". Su navegador web verificó el certificado de seguridad para https://blog.avast.com/es y verificó que fue emitido por una autoridad de certificación legítima. Eso es PKI en acción. 

A medida que la privacidad se convierte en una prioridad y un desafío para la seguridad cibernética, es importante comprender este estándar fundamental subyacente. 

Debido a que funciona a nivel de infraestructura, PKI no es tan conocido como debería ser por la alta gerencia corporativa, y mucho menos por el público. Sin embargo, puede estar seguro de que los ciberdelincuentes comprenden los matices sobre la PKI, ya que han seguido explotándolos para invadir la privacidad y robar datos.

Aquí está la conclusión: PKI es lo mejor que tenemos. A medida que se acelere la transformación digital, los líderes empresariales e incluso los consumidores individuales tendrán que familiarizarse con PKI y participar de manera proactiva en su preservación. La buena noticia es que la comunidad global de ciberseguridad comprende lo crucial que se ha vuelto no solo preservar, sino también reforzar, la PKI. Google, hasta ahora, está liderando el camino.

Estas son las cosas fundamentales que todas las empresas y los consumidores informados deben saber sobre los esfuerzos continuos para apuntalar la PKI, a largo plazo.

Conceptos básicos de PKI

PKI gira en torno a la creación, distribución y gestión de certificados digitales. En el caso de los sitios web, lo hace mediante la distribución de certificados digitales (documentos electrónicos) emitidos por compañías conocidas como autoridades de certificación (sitio en inglés) o CA. La función de las AC es verificar diligentemente la autenticidad de los sitios web y luego ayudar a los propietarios del sitio web a cifrar la información que los consumidores escriben en sus formularios de página web. 

Se emiten dos claves criptográficas diferentes, una clave pública y una clave privada. La clave pública está disponible para cualquier usuario que se conecte con el sitio web certificado. La clave privada es una clave única generada cuando se establece una conexión, y se mantiene en secreto. El usuario utiliza la clave pública para cifrar y descifrar los intercambios de información con el sitio web, mientras que el servidor web utiliza una clave privada. Esto protege los datos de ser robados o manipulados.

Por lo tanto, PKI cumple dos funciones cruciales: es una forma de autenticar identidades durante el proceso de transferencia de datos, y también para mantener los datos cifrados a medida que se mueven entre puntos finales.

PKI comenzó como una herramienta utilizada principalmente para validar la autenticidad de los sitios web y proteger los datos, especialmente durante las transacciones financieras en línea. En el futuro, existe un fuerte consenso de que PKI claramente debe aplicarse a cada tipo de identidad digital, ya sea para un humano que se conecta a un sitio web, una máquina a otra máquina o una aplicación a otra aplicación. Ese es un objetivo elevado, pero también se cree que es una forma de reducir la actividad maliciosa. 

“Los certificados y las claves aseguran la validez de cualquier identidad digital dada; piense en ello como la cerradura de su puerta principal, más una forma de saber quién está en la puerta y por qué están en la puerta ", observa Chris Hickman, director de seguridad de  Keyfactor (sitio en inglés), un proveedor de sistemas de seguridad de identidad digital. "PKI es uno de los pocos mecanismos de seguridad verdaderamente probados en batalla y en el tiempo en la industria".

Vulnerabilidades de certificado

PKI requiere cuidado y alimentación proactivos, incluso más que otros sistemas de seguridad. Es una gran empresa para cualquier organización. El número de certificados en uso continúa creciendo a medida que las organizaciones aumentan su dependencia de los servicios en la nube y de proveedores externos. No solo eso, los certificados caducan, algunos con la frecuencia anual. 

Sin embargo, la renovación manual sigue siendo una práctica generalizada e inconsistente. Una encuesta patrocinada por Keyfactor (sitio en inglés) de 596 profesionales de TI encuestados por el Instituto Ponemon, por ejemplo, encontró que el 74% de los encuestados informaron casos de problemas de certificados digitales que causaron tiempos de inactividad y cortes inesperados. Y alrededor del 73% de los encuestados dijeron que sabían que no asegurar las claves y los certificados erosionaba la confianza en su organización.

No es sorprendente que los actores de amenazas se hayan disparado. En los últimos años ha habido un aumento constante de ataques que (sitio en inglés) involucran certificados digitales falsificados o robados, dice Anand Kashyap, cofundador y director de tecnología de Fortanix (sitio en inglés), un proveedor de sistemas de cifrado avanzados de Silicon Valley. 

Algunos actores de amenazas ni siquiera necesitan certificados falsificados o robados para jugar con el sistema, me dijo Kashyap. En cambio, esperan pacientemente a que las empresas sigan adelante con el despliegue de nuevas aplicaciones compuestas por microservicios de software. Una práctica común es ejecutar dichas aplicaciones a través de servidores de equilibrio de carga , durante los cuales las protecciones PKI se desactivan temporalmente. Y ahí es cuando actúan los actores de la amenaza.

"A medida que las empresas se acostumbran a que esto suceda, es más fácil para los atacantes aprovechar la situación para robar claves privadas y lanzar un ataque de intermediario ", dice Kashyap. "Tales ataques de hombre en el medio han ido en aumento, ya que son relativamente fáciles de llevar a cabo".

Los actores de amenazas también buscan certificados caducados, algo que las compañías pasan por alto de forma rutinaria. Fue a través de un solo certificado caducado, por ejemplo, que los piratas informáticos pudieron establecerse dentro de los cortafuegos de la oficina de monitoreo de crédito Equifax, y pasar desapercibidos durante meses mientras robaban 143 millones de registros de clientes (sitio en inglés). "Dos años después, Equifax sigue pagando millones en daños y gastando miles de millones más invirtiendo en herramientas de seguridad", dice Hickman.

Siguiendo a Google

Entonces, ¿dónde puede una organización comenzar a controlar los problemas de PKI? Un buen lugar para comenzar es estudiar lo que Google ha estado haciendo durante los últimos años en el frente de PKI. El gigante de las búsquedas ha estado a la vanguardia del desarrollo de consenso en torno a las mejores prácticas de PKI, y también ha sido un participante importante en una ola de innovación para reforzar la PKI.

Por ejemplo, en los últimos años, Google ha intensificado constantemente las sanciones para los sitios web que no usan HTTPS (sitio en inglés), al marcarlos como no confiables. Cloudflare, DigiCert y varias otras compañías tecnológicas coordinaron la entrega de servicios de soporte para que sea fácil y económico para los editores de sitios web adoptar HTTPS. El resultado es que el porcentaje de sitios web que usan PKI ha subido por encima del 55%(sitio en inglés) , frente al 42% de hace un año.

El mes pasado, Google anunció algo llamado Servicio de administración de claves externas de Google, una nueva forma para que las compañías controlen más directamente las claves criptográficas generadas como parte de los servicios en la nube en expansión en los que han llegado a confiar. Fortanix está suministrando la tecnología de cifrado avanzada que (sitio en inglés) respalda el nuevo servicio de Google. 

Y compañías como Keyfactor, Venafi, Cyberreason, CyberArk y Duo, una subsidiaria de Cisco, entre muchas otras, están desarrollando nuevas tecnologías para equipar a las compañías a implementar y administrar de manera más eficiente PKI y sistemas vinculados a PKI.

"La cantidad de certificados digitales y las claves privadas correspondientes que las empresas deben administrar ha explotado en los últimos años", dice Kashyap. “Hay un impulso hacia los microservicios y la necesidad de cifrar todo en reposo o en movimiento. Cada servicio, usuario o dispositivo que se comunica en la red de una empresa necesita un certificado digital. La gestión de estas claves y certificados a escala, de manera segura, se ha convertido en una gran importancia en el entorno actual ".

PKI de refuerzo

Abordar las exposiciones a PKI es solo uno de los muchos desafíos materiales de seguridad que enfrentan las empresas, pero puede ser la máxima prioridad. PKI está tan profundamente entretejido en las redes híbridas emergentes que comenzar con una pizarra limpia será crucial para muchas organizaciones. 

La PKI también nos afecta directamente a todos. Los consumidores deben desconfiar de los riesgos alimentados por PKI que enfrentan en línea hoy en día, y tomar medidas para evitarlos. Los certificados comprometidos representan un riesgo insidioso de fraude y robo de datos.

La ingeniería social para apoyar la actividad maliciosa solo se volverá más sofisticada, lo que significa que reducir la huella digital y resistir la necesidad de hacer clic en algo por impulso sigue siendo más importante que nunca. 

Una carga compartida

En un mundo perfecto, el desarrollador de software, el fabricante del dispositivo y el proveedor de servicios digitales compartirían la carga de mantener seguros a los usuarios finales. Sin embargo, la realidad es que muchas corporaciones se centran en escalar las operaciones de manera rentable en primer lugar, evitando las trampas legales y reguladoras en segundo lugar, y mantener la confianza del consumidor como una empresa distante. Esto explica por qué incluso empresas bien defendidas como Capital One, Marriott y Equifax continúan sufriendo infracciones catastróficas.

Eso significa que una buena parte de la carga de seguridad permanecerá con el individuo en el futuro previsible. "Los consumidores pueden verificar si hay señales visuales y evitar ir a sitios que no tienen un certificado adecuado o que no tienen un certificado caducado", dice Kashyap. "Deben ser extremadamente cuidadosos al verificar la autenticidad de un sitio al proporcionar información personal, contraseñas o información de pago". La señal visible más obvia sería verificar que la dirección web de un sitio comienza HTTPS. La PKI, aunque imperfecta, está destinada a seguir siendo una parte central de la infraestructura de privacidad y seguridad que

hace viable el comercio digital. Será vital para el sector corporativo hacer grandes avances en el refuerzo de PKI para resistir las exposiciones de privacidad y seguridad por venir. Yo vigilaré