Modernización de la Seguridad de las Comunicaciones

Resumen Ejecutivo

Durante el segundo trimestre del año 2019, con fecha 18 de Marzo 2019 los servicios de CORPME se irán modernizando de forma progresiva de tal forma que dejarán de ser compatibles con versiones obsoletas de TLS en línea con la decisión tomada por grandes empresas del sector TI (Apple, Google y Micorsoft) y estándares de la industria como PCI y NIST. Los principales navegadores (Apple Safari, Google Chrome, Mozilla Firefox y Microsoft Edge e Internet Explorer) dejarán de ser compatibles con TLS 1.1 y TLS 1.0 TLS a principios de 2020.

Objetivo

El objetivo de estas acciones es aumentar el nivel de protección y de robustez de los servicios web que ofrece CORPME evitando así que dichos servicios web sean víctima de ataques conocidos sobre HTTPS.

Descripción

La proliferación de las tecnologías web en los últimos años, junto al aumento de las capacidades, funcionalidades, prestaciones y posibilidades de utilización de las mismas, permitiendo la realización de prácticamente cualquier gestión o tarea de la vida diaria, tanto personal como profesional, hace necesario plantearse la importancia de hacer uso de comunicaciones web lo más seguras posibles, es decir, basadas únicamente en el uso del protocolo HTTPS, que proporciona tanto mecanismos de autentificación como de cifrado e integridad. Es por tanto necesario potenciar el uso de tecnologías web con un mayor nivel de seguridad a través de HTTPS, frente a HTTP, tanto dentro de los entornos corporativos como para el uso particular de las mismas, e independientemente de si son accedidas desde ordenadores tradicionales como desde dispositivos móviles, o desde cualquier otro dispositivo tecnológico, Uno de los principales motivos por los que se debe hacer uso de HTTPS para el acceso a entornos, servidores y aplicaciones web son las características de seguridad adicionales proporcionadas por este protocolo empleado para establecer comunicaciones seguras, donde cabe destacar la posibilidad por parte del usuario de confirmar que se está conectando al entorno web deseado (autentificación e identificación) y la ventaja de que todo el tráfico intercambiado entre el usuario y el entorno web esté cifrado, asegurando a la vez la integridad de los datos transmitidos, y evitando que el tráfico pueda ser interceptado y manipulado por un tercero.

Los entornos web de las organizaciones suelen ser objeto de numerosos ataques que, como resultado, permiten el acceso a información sensible, incluyendo datos personales e, incluso, identificadores de sesión y credenciales que permitirían suplantar a sus propietarios.
La concienciación sobre el uso exclusivo de entornos web mediante HTTPS por parte de los usuarios y las buenas prácticas en la implementación de HTTPS (diseño, configuración y mantenimiento) en los entornos web por parte de sus responsables, constituyen la mejor defensa para prevenir y mitigar este tipo concreto de incidentes y amenazas web.
Para ello, CORPME ha decido seguir las recomendaciones técnicas de seguridad en línea con estándares de la industria tales como PCI SSC y NIST, junto con la decisión de otras organizaciones tecnológicas como Apple, Google o Microsoft que han optado por dejar de usar versiones obsoletas de TLS con el objetivo de mejorar la seguridad e incrementar las capacidades de protección de la implementación de HTTPS en entornos web.

Seguridad en las comunicaciones

SSL y TLS son los protocolos que protegen HTTPS. La selección de los protocolos SSL y TLS, y de las versiones específicas de estos, a utilizar por el servidor o aplicación web estará influenciada por los requisitos de seguridad e interoperabilidad del entorno web, es decir, cuáles son los navegadores y clientes web a los que se les quiere dar soporte y permitir el acceso a dicho entorno web con el mayor nivel de seguridad posible. Con el tiempo se han ido introduciendo mejoras en seguridad en las diferentes versiones de estos protocolos, pero, se desaconseja hacer uso del protocolo SSL (CORPME dejó de dar soporte a SSL a principios del 2018), ya que se considera completamente vulnerable desde su versión 2.0, debido a vulnerabilidades previas, pero especialmente tras el descubrimiento de la vulnerabilidad DROWN en marzo de 2016, hasta su última versión 3.0, tras el descubrimiento de la vulnerabilidad POODLE en octubre de 2014. Por tanto, en el caso más tolerante desde el punto de vista de la interoperabilidad, el entorno web sólo debería soportar las diferentes versiones del protocolo TLS. Sin embargo, debido a las debilidades existentes en la versión 1.0 de este protocolo, como BEAST, publicada en junio de 2011 se recomienda buscar un equilibrio entre seguridad e interoperabilidad y soportar únicamente TLS 1.2 o posterior.

Consideraciones de seguridad

Dado que la mayoría de los navegadores y clientes modernos implementan TLS 1.2, un usuario no técnico podría pensar que está seguro. Desafortunadamente, esto no es cierto: el solo hecho de tener soporte para versiones anteriores de TLS representa una amenaza para la seguridad de los usuarios, incluso de clientes y servidores modernos.

TLS proporciona seguridad de red, y su objetivo principal es evitar que un atacante lea o modifique los datos intercambiados entre los nodos de una red. Por lo tanto, mitiga los ataques de red, como los ataques Man-in-the-Middle (MITM). Un ataque MITM explota el hecho de que una red de computadoras
puede ser manipulada para que todos los nodos de una red envíen su tráfico al atacante en lugar del enrutador esperado u otros nodos. Luego, el atacante puede leer o modificar el contenido interceptado antes de transmitirlo a su destinatario. TLS protege contra ataques MITM al cifrar los datos con una clave secreta que solo conoce el cliente y el servidor originales. Un atacante MITM sin el conocimiento de esta clave secreta no puede leer ni manipular los datos cifrados.

Sin embargo, las versiones de TLS entre clientes y servidores deben coincidir, y como a menudo admiten varias versiones de TLS, negocian qué versión usar. Durante esta negociación la comunicación no está cifrada, un atacante que realiza un ataque MITM podría ver y modificar la versión TLS solicitada a una anterior, vulnerable como TLS 1.0. Luego podrían proceder a utilizar cualquiera de las vulnerabilidades TLS 1.0 mencionadas anteriormente (como POODLE) para comprometer la conexión.
En efecto, siempre que los servidores y clientes en una conexión de red sean compatibles con versiones anteriores de TLS, todos son vulnerables, motivo evidente por el cual es recomendable eliminar el soporte a versiones obsoletas.

Conclusión

TLS ofrece seguridad y privacidad a los usuarios de Internet. A lo largo de los años, los investigadores han descubierto vulnerabilidades de protocolo importantes, lo que ha motivado a la mayoría de las empresas a actualizar sus sistemas para utilizar versiones más modernas de TLS.
TLS 1.0 fue publicada en 1999, dos décadas es mucho tiempo para que una tecnología de seguridad permanezca sin modificaciones. Pasar a versiones más nuevas ayuda a garantizar una Web más segura para todos. Además, se espera que el IETF revoque formalmente TLS 1.0 y 1.1 (Organización Internacional de normalización de internet), momento en el cual las vulnerabilidades del protocolo en estas versiones ya no serán tratadas por el IETF.
Por estas razones, es conveniente dejar de dar soporte a TLS 1.0 y 1.1 tan pronto como sea posible. Las versiones más nuevas permiten la criptografía más moderna y son ampliamente compatibles con los navegadores modernos. TLS 1.2 utiliza la criptografía moderna y ofrece un mejor rendimiento y seguridad que sus predecesores. Al mismo tiempo, no es susceptible a ninguna de las vulnerabilidades mencionadas anteriormente, lo que la convierte en una opción ideal para cualquier aplicación en comunicaciones seguras.
Si un usuario utiliza un navegador obsoleto o un dispositivo antiguo que no sea compatible con el protocolo de seguridad TLS 1.2 ó superior, no podrá hacer uso de los servicios que ofrece CORPME. No habrá ninguna advertencia específica acerca del problema. El usuario tendrá que actualizar su navegador web o dispositivo a una versión más reciente.

Referencias

https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls

https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-52r1.pdf

https://security.googleblog.com/2018/10/modernizing-transport-security.html

https://blogs.windows.com/msedgedev/2018/10/15/modernizing-tls-edge-ie11/

https://tools.ietf.org/html/draft-ietf-tls-oldversions-deprecate-00