por Charles Miller

El próximo jueves será Halloween, y también el día en que sus navegadores web empezarán a decir «¡Truco o trato!» a medianoche. La mala noticia es que no hay trato, y los trucos van a seguir viniendo y viniendo durante los próximos meses. El truco al que me refiero es que a partir de la medianoche de Halloween el navegador Chrome de Google y probablemente muchos otros empezarán a mostrar una advertencia de que algunos de los sitios web que visitas no son seguros porque el certificado SSL emitido para ese sitio ya no es de confianza.

A mediados de la década de 1990, cuando Internet se estaba convirtiendo en «una cosa», hubo algunas personas inteligentes que reconocieron la necesidad de establecer conexiones seguras en las que se pudiera confiar. Esto llevó al nacimiento del certificado digital que autentica la identidad de un sitio web y permite una conexión cifrada entre un servidor web y usted. Secure Sockets Layer (SSL) es el protocolo de seguridad diseñado para proteger los datos transmitidos por Internet. La creación y emisión de estos certificados se confió a un puñado de nuevas empresas denominadas Autoridad de Certificación (CA). El trabajo de una CA consiste en verificar la propiedad de un sitio web y la exactitud de la información facilitada para registrar el nombre. A lo largo de los años han surgido tres niveles diferentes de verificación.

La Validación de Dominio (DV) puede no ser más que la comprobación de la validez del correo electrónico, el número de teléfono o la dirección de alguien, por lo que los delincuentes obtienen fácilmente los DV. La Validación de Organización (OV) es más estricta y puede implicar que el solicitante tenga que presentar documentos de identidad con fotografía y copias de documentos legales que prueben la existencia legal de la organización que solicita el certificado. La Validación Extendida (EV) debe implicar un proceso de verificación cuidadoso y riguroso. Si intenta obtener un certificado para Merrill Lynch & Co. prepárese para que el emisor le exija una reunión en persona con el Sr. Merrill o el Sr. Lynch antes de expedirle un certificado válido para ml.com. Hacer menos podría poner en peligro a todos los inversores. En otras palabras, nunca jamás debe emitirse un certificado con Extended Validation (EV) a nadie que no sea el propietario legal de ese sitio web, porque poder confiar en que un sitio web es el auténtico y no una copia falsa es absolutamente esencial.

Hay muchas empresas que se dedican a emitir certificados; cualquiera puede hacerlo, pero no todas las autoridades de certificación son responsables. Desde hace varios años se vienen produciendo problemas con la CA Entrust. Los detalles son muy técnicos, pero basta decir que Entrust ha sido culpable de saltarse las normas sin disculparse hasta el punto de que Google finalmente dijo «¡Basta!» y anunció que a partir de la medianoche de Halloween Entrust ya no será de confianza para el navegador Chrome.

Lo que esto significa para Entrust es que, a medida que sus clientes lleven sus negocios a otra parte, la empresa podría enfrentarse a graves consecuencias. Este fue el caso en 2011, cuando la autoridad de certificación DigiNotar se vio obligada rápidamente a declararse en quiebra cuando sus certificados dejaron de ser de confianza.

Lo que todo esto significa para usted es que, mientras navega por la web, es posible que pronto se encuentre con una aterradora advertencia a toda página que indica que un sitio que visita «no es seguro», además de indicadores visuales como un signo de exclamación rojo en la barra de direcciones del navegador. Aún tiene la opción de ignorar la advertencia y continuar; pero tenga en cuenta que, si lo hace, es posible que no acabe en el sitio web de su banco, sino en un sitio falso que se parece al de su banco.

**************

Charles Miller es un consultor informático independiente con décadas de experiencia en TI y un tejano con un amor de por vida por México. Las opiniones expresadas son suyas. Puede ponerse en contacto con él al 415-101-8528 o al correo electrónico FAQ8 (at) SMAguru.com.

Descubre Lokkal:
Ve el video de dos minutos a continuación.
Luego, justo debajo de eso, desplácese hacia abajo por el muro comunitario de SMA.
Misión

Visit SMA's Social Network

Contact / Contactar