No confundamos confidencialidad con seguridad
Desde comienzos de octubre de este año 2015, Twitter ha decidido cifrar el intercambio de mensajes privados entre sus usuarios, argumentando que esto permite una mejora de la seguridad. Cada vez que un gigante de Internet, con Google a la cabeza, se pasa al tráfico SSL, el mensaje que se nos hace llegar es siempre el mismo, por mejorar la seguridad.
La ANSSI (Agencia nacional francesa de seguridad en los sistemas de información), en su documento “Recomendaciones de Seguridad relativas al análisis de los flujos HTTPS”, nos dice que HTTPS es “una tecnología concebida para proteger la confidencialidad en la totalidad de las comunicaciones, desde principio a final”. ¿Pero de verdad el incremento del tráfico cifrado es un auténtico vector de mejora en la seguridad de los sistemas de información? No parece que ese sea el resultado logrado.
La confidencialidad consiste en “asegurar que la información solamente es accesible para aquellos que están autorizados a ello”, según la definición de la Organización Internacional de la Normalización (ISO). Y por seguridad entendemos la ausencia de amenazas o la implementación de estrategias y herramientas para reducir el nivel de estas amenazas de modo significativo.
El cifrado del tráfico hace prácticamente imposible para personas no autorizadas, la interceptación de las comunicaciones en tránsito en cualquier lugar, desde la página web al ordenador o al dispositivo móvil, y viceversa, mejorándose así la confidencialidad. Pero si el sitio web está infectado, entonces los códigos maliciosos que van a transitar por la red no podrán ser detectados por los sistemas de seguridad de la empresa desplegados en la infraestructura. Queriendo mejorar la confidencialidad, el cifrado de la información abre una auténtica brecha en nuestra seguridad.
Hace poco, y de nuevo en Francia, la Arcep, el regulador francés de telecomunicaciones equivalente a nuestra antigua CMT, ha anunciado que a mediados de 2015, el volumen de tráfico cifrado via ISP en Francia alcanzó el 50% del total, frente a tan sólo el 5% que representaba en 2012. Por tanto, para la mitad del tráfico de internet en Francia, la seguridad de empresa no podrá basarse más que en las capacidades de análisis y de detección desplegadas ya después del canal de comunicación, es decir, en los dispositivos mismos. En la mayoría de los casos, la realidad defensiva con la que nos encontramos es la de un software antivirus, lo que está muy lejos de ser suficiente para hacer frente a las complejidades de las amenazas actuales. Y los piratas lo saben, y se estima que cerca del 80% de los ataques complejos utilizan las conexiones cifradas para penetrar en el sistema informático de las empresas.
Estamos ante una situación bastante paradójica para los empleados de nuestras empresas, que con razón piden la confidencialidad para las comunicaciones, la securización de las informaciones sensibles y la protección contra ataques tipo ransomware.
No confundamos confidencialidad y seguridad. No es lo mismo. Estas dos necesidades fundamentales pueden llegar incluso a parecer contradictorias, pero es hoy es algo perfectamente posible gracias a las soluciones de gestión de tráfico cifrado (Encrypted Trafic Management) que existen en el mercado, y que nos permiten reforzar la seguridad de los sistemas de información al mismo tiempo que garantizar la confidencialidad.
Por Miguel Ángel Martos, director general Blue Coat para el sur de Europa
Miguel Ángel Martos de Blue Coat
