¿Has utilizado algoritmos criptográficos últimamente?  Es probable que la respuesta de la mayoría de los usuarios de Internet sea que no, pero la criptografía forma parte de nuestra vida diaria y está más cerca de lo que creemos. Un ejemplo claro de esto es nuestra cercana relación con buscadores, redes sociales, aplicaciones de banca en línea e incluso nuestros amados servicios de streaming, los cuales utilizan criptografía para su funcionamiento.

Transport Layer Security (TLS) es un protocolo criptográfico que provee confidencialidad e integridad de la información a dos entidades que se están comunicando. Es utilizado por los navegadores de Internet para transportar datos que requieran ser intercambiados de manera segura a través de redes públicas.

Hace ya 10 años que se publicó el RFC 5246, que dio a conocer la versión 1.2 de TLS y que anunció múltiples mejoras y robustecimiento de los algoritmos utilizados dentro del protocolo; pero el tiempo de evolucionar ha llegado nuevamente. En enero de 2018 dio inicio la fase de pruebas e implementación de TLS 1.3, el cual ha prometido mejorar la velocidad en que las sesiones son generadas y robustecer la seguridad. Aunque no se ha mencionado una fecha estimada para la liberación oficial del protocolo, debido a las múltiples revisiones que la IETF (Internet Engineering Task Force) está realizando, se espera que en algún momento de este año sea oficial su liberación.

Si bien TLS 1.1 y TLS 1.2 no cuentan con vulnerabilidades que debieran ser resueltas de manera urgente, tampoco existe un motivo para no adoptar la nueva versión del protocolo, ya que las mejoras provistas son muy interesantes. TLS permite al administrador de cualquier sistema elegir qué algoritmos criptográficos utilizar, lo que provoca que algunos administradores involuntariamente desplieguen algoritmos considerados inseguros o vulnerables, como el caso de RC4. La nueva versión de TLS promete acercarnos un paso más a la corrección de este comportamiento, ya que algoritmos como SHA-1, RC4, DES, 3DES y MD5 saldrán de sus listas de protocolos disponibles, además del modo de cifrado CBC para el algoritmo AES (que ha mostrado múltiples fallas de implementación en diversos proveedores).

Además de lo anterior, el protocolo ha reducido en dos pasos la forma en que una conexión es acordada, proceso conocido como handshake, reduciendo de esta manera la sobrecarga existente por la generación de sesiones.

 

¿Quién ya lo ha adoptado?

Aunque el protocolo no ha sido oficialmente liberado, algunas organizaciones como Akamai o Google ya han comenzado a desplegar versiones de desarrollo del protocolo, ayudando así con la identificación de fallas.

Por su parte, algunos navegadores de Internet como Google Chrome, Mozilla Firefox y Samsung Internet ya cuentan con soporte para este protocolo, mientras otros como Safari, Opera Mini o Microsoft Edge no poseen aún esta característica, aunque esto no ocasionará todavía problemas ya que el protocolo no ha sido oficialmente liberado.

 

El día del juicio para TLS 1.0 está cerca

El Payment Card Industry Security Standards Council (PCI-SSC, por sus siglas en inglés) ha determinado el 30 de junio de 2018 como la fecha límite a partir de la que este protocolo será considerado un mecanismo apropiado para la protección de información bancaria. Aunque esto no significa que el protocolo vaya a desaparecer de nuestro ecosistema en el corto plazo, una buena práctica de seguridad debe ser la alineación con normativas internacionales que permitan mantener los niveles de seguridad tan altos como sea posible.

Los profesionales de seguridad debemos procurar que nuestras organizaciones se mantengan al día en las diversas especialidades que existen, no solo por temas de cumplimiento, sino como parte de una cultura de responsabilidad sobre seguridad de la información que en este país cobra cada vez más auge.

Para ayudarnos en la identificación oportuna de amenazas y facilitar la detección de debilidades que pudieran ser aprovechadas por un atacante, existen múltiples servicios de seguridad que se adaptan a las necesidades de cada organización.

Recuerda que la pregunta no es si serás atacado, sino cuándo.

 

[email protected]