Qué son los protocolos SSL y S-HTTP:

Esta semana trataremos el tema de 2 protocolos de uso corriente en nuestras operaciones de seguridad en la red, tratando de explicar de manera simple en qué consisten, su situación en el contexto de la Red, y comentando las carencias que tienen.

SSL son las iniciales de Secure Socket Layer, un protocolo para la comunicación segura entre dos ordenadores (un cliente y un servidor). S-HTTP son las siglas de Secure HyperText Transfer Protocol, y su objetivo es similar. La diferencia entre ambos es que S-HTTP solamente sirve para la web, mientras que SSL sirve para cualquier comunicación. Cuando nuestro navegador utiliza alguno de estos sistemas seguros, suele indicarlo mediante algún icono en la barra de estado, o mediante alguna ventana de aviso.

Todas las comunicaciones de Internet funcionan mediante el protocolo TCP/IP, un protocolo básico de comunicaciones, diseñado para garantizar la comunicación más simple entre dos ordenadores. Sobre ese protocolo básico funcionan otros protocolos destinados a tareas específicas. Por ejemplo, están los protocolos HTTP (para la transmisión de páginas web), FTP (para la transmisión de ficheros), SMTP (para el envío de mensajes de correo-e), etc.

S-HTTP sustituye al protocolo HTTP (web), si el cliente y el servidor están preparados para utilizar ese nivel de seguridad. En cambio, SSL puede ser utilizado como un intermediario entre el TCP/IP y cualquier otro protocolo (por ejemplo, el HTTP) para añadir la seguridad a cualquier tipo de comunicación entre un cliente y un servidor.

El diseño general de Internet fue originariamente concebido para operaciones rutinarias y que no requieren niveles significativos de seguridad y privacidad. Al principio, el propio hecho de transmitir información entre dos ordenadores (distintos, y que además pudieran estar configurados de formas muy diversas) ya era un problema difícil de superar, como para plantearse retos de mayor envergadura.

Luego, sobre esa base se han añadido algunos parches para añadir mecanismos que aporten la seguridad y la privacidad necesarias en operaciones importantes, como por ejemplo el acceso remoto a la cuenta bancaria, o la transmisión del número de tarjeta en las compras que hacemos en la red. Ese es el objetivo de nuevos protocolos como SSL y HTTP. Sin embargo, no hay que olvidar que estos nuevos protocolos funcionan sobre una base tecnológica más antigua y endeble. En informática, la opción de los "parches" nunca ha sido una solución óptima, pero en el caso de Internet se ha considerado preferible hacerlo así para mantener la compatibilidad y no tener que cambiar toda la red, porque eso sería demasiado complicado y costoso.

El resultado es que ocasionalmente, por una razón u otra, la seguridad teórica aportada por estos protocolos no funciona. Como ejemplo, el caso reciente de un usuario que logró "robar" un banco utilizando una herramienta tan simple como un navegador. Ese navegador tenía un fallo de diseño, que hasta ese momento no había sido detectado.

La conclusión es que no debemos alarmarnos, pues cualquier tecnología está expuesta a que se descubra algún fallo en su diseño ( ¿cuántas veces han fallado los Sistemas Operativos Windows? ), y esos fallos suelen ser corregidos con prontitud. Pero tampoco debemos aceptar a ciegas las promesas de seguridad y fiabilidad absolutas de las empresas que promueven y utilizan este tipo de tecnologías. Los cajeros automáticos o los aviones también fallan alguna vez, y no por eso dejamos de utilizarlos.

 

Imprimir
Hacer Página de Inicio
Volver al Indice