Glosario

Descifrado de SSL

¿Qué es el descifrado de SSL?

Los protocolos SSL (capa de sockets seguros) y su moderno y más seguro sucesor TLS (seguridad de la capa de transporte) se utilizan para cifrar el tráfico web. El cifrado de datos en tránsito es una práctica habitual, ya que aproximadamente el 90 % de las páginas web están ahora cifradas. Aunque esto ayuda a prevenir filtraciones de información, los ciberdelincuentes utilizan estos canales cifrados para propagar malware y extraer datos sabiendo que pueden eludir las soluciones tradicionales de inspección de seguridad que no descifran el tráfico.

Las herramientas de inspección de seguridad como los cortafuegos de última generación (NGFW), los sistemas de protección contra la pérdida de datos (DLP), los sistemas de detección/protección contra intrusos (IDS/IPS), las puertas de enlace web y otros son excelentes para descubrir amenazas entre el tráfico. Sin embargo, no descifran eficientemente el tráfico antes de inspeccionarlo y no pueden ver las amenazas cifradas, lo que permite que el malware o los datos de propiedad intelectual fluyan sin ser inspeccionados o detenidos cuando es necesario. El descifrado de SSL, también conocido como visibilidad de SSL, es el proceso de descifrar el tráfico a escala y dirigirlo hacia diversas herramientas de inspección que identifican las amenazas entrantes para las aplicaciones y las salientes desde los usuarios hacia Internet.

¿Por qué está aumentando el uso del cifrado de SSL/TLS?

El uso del cifrado SSL/TLS en el tráfico web ha aumentado extraordinariamente por varias razones:

  • Disponibilidad de certificados baratos o gratuitos: Let's Encrypt es una autoridad de certificación (CA) libre, automatizada y abierta. Let's Encrypt es fácilmente accesible para pequeños operadores de sitios web que antes no podían permitirse el coste y para desarrolladores de sitios y aplicaciones que quieren automatizar la implementación de certificados dentro de sus aplicaciones. Sin embargo, los delincuentes pueden obtener los mismos certificados con igual facilidad para hacer que sus sitios web falsos parezcan legítimos. Luego los usan para realizar ataques de phishing, man-in-the middle, envenenamiento del caché del DNS y otros.
  • Advertencias del navegador Google Chrome: a partir de julio de 2018, las páginas web que no utilicen el cifrado de SSL/TLS se marcarán automáticamente como no seguras.
  • Clasificación de resultados de búsqueda en Google: Google sitúa mejor en sus resultados de búsqueda los sitios web que utilizan el cifrado SSL/TLS.
  • Mayor énfasis en la privacidad del usuario: la cantidad de filtraciones de datos que aparecen en las noticias ha aumentado el interés del público por la privacidad del usuario y de los datos. Leyes y regulaciones como el RGPD de la Unión Europea y la nueva Consumer Privacy Act (Ley de Privacidad del Consumidor) de California, también han animado a las organizaciones a implementar SSL/TLS.
¿Qué desafíos supone el descifrado de SSL/TLS del tráfico?

Además de las amenazas ocultas en el cifrado, hay que ser consciente de otros desafíos cuando se diseña o mantiene una arquitectura que inspeccione el tráfico. Entre otros, son:

  • Aumento de la complejidad: muchas empresas utilizan múltiples herramientas de inspección de seguridad para encontrar y detener diferentes tipos de amenazas. Algunas de ellas no descifran el tráfico, y otras no pueden descifrar a escala. Esto hace que la arquitectura de inspección sea impredecible y que sea más complejo encauzar el tráfico de manera eficiente de un dispositivo a otro. Además, los fallos en las herramientas de inspección pueden introducir potencialmente latencia o callejones sin salida en el tráfico; y el hecho de tener múltiples puntos de cifrado y descifrado dificulta mucho hacer cambios sencillos en los dispositivos, ya que pueden afectar a toda la cadena de inspección.
  • Impactos en el rendimiento: descifrar y volver a cifrar el tráfico es una tarea intensiva en procesamiento que puede afectar al rendimiento de los dispositivos de inspección. Esto hace que muchas veces solo se inspeccione una parte del tráfico en busca de amenazas y que el tráfico que supera el límite de cálculo de una herramienta pase sin ser inspeccionado.
  • Cifrado moderno: sin una forma centralizada de cifrar y descifrar, el uso de cifrados estándar es difícil de manejar cuando hay que hacer cambios. Además, dado que las organizaciones suelen preferir cifrados de secreto de avance perfecto, no pueden simplemente compartir una clave de cifrado con dispositivos de inspección fuera de banda para realizar una inspección pasiva.
  • Normas de privacidad: el no tener una clasificación del tráfico basada en políticas personalizables puede hacer que se descifre todo el tráfico, lo que puede suponer una intromisión en la privacidad de los usuarios. Aunque descifrar el tráfico es esencial para encontrar malware y otras amenazas, hacer tan visible la información bancaria o sanitaria de los usuarios pude suponer una infracción de las leyes y regulaciones.
¿Cómo puede proteger su organización frente las amenazas cifradas?

Descifrando en función de políticas y conduciendo el tráfico entrante y saliente se logra la visibilidad del tráfico cifrado y se aumenta la eficiencia y resistencia de todo el conjunto de herramientas de inspección.

Eligiendo una SSL/TLS que proporcione una gestión centralizada, puede simplificar el proceso de elección y actualización de los paquetes de cifrado que aseguran las conexiones de red que usan SSL/TLS. Esto aumenta el rendimiento de sus herramientas de inspección de tráfico y permite a la vez mayor flexibilidad en la gestión del cifrado que utiliza de extremo a extremo.