8. Un resumen de los sistemas de seguridad en Internet

Existen muchos tipos diferentes de amenazas que pueden comprometer la seguridad del comercio electrónico. Para contrarrestar estas amenazas se han desarrollado varios protocolos y aplicaciones usando las técnicas criptográficas descritas anteriormente.

Desde hace mucho tiempo se sabe que Internet depende de estándares abiertos. Este apoyo a los estándares abiertos, junto con el intercambio abierto de información en Internet, puede hacer que usted piense que seguridad e Internet son términos mutuamente excluyentes. Nada menos cierto. Aunque en el pasado Internet instrumentó menos seguridad que las redes privadas de valor agregado (VANs), o las redes corporativas, los esfuerzos por proporcionar una variedad de mecanismos de seguridad al tráfico en Internet han progresado a toda velocidad.

Más y más medidas de seguridad se están instrumentando en Internet.

Algoritmos de llave comunes.

• DES (Data Encryption Standard-Estándar de encriptamiento de datos) es un codificador de bloque creado por IBM, avalado por el gobierno de los Estados Unidos en 1997. Usa una llave de 56 bits y opera en bloques de 64 bits. Relativamente rápido; se usa para encriptar grandes cantidades de datos al mismo tiempo.

• Triple DES basado en DES. Encripta un bloque de datos tres veces, con tres llaves diferentes. Se ha propuesto como una alternativa al DES y su uso se incrementa día con día, pues se ha hablado mucho acerca de la posiblidad de violar el DES con facilidad y rapidez.

• RC2 y RC4, diseñados por Ron Rivest (la R en RSA Data Security Inc.). Codificadores de tamaño de llave variable para encriptamiento a granel rápido. Un poco más veloces que DES, los dos algoritmos se pueden hacer más seguros al seleccionar un tamaño de llave más grande. RC2 es un codificador de bloque, y se puede usar en lugar de DES. RC4 es un codificador de flujo y es 10 veces más veloz que DES.

• IDEA. International Data Encryption Algorithm (Algoritmo internacional de encriptamiento de datos). Creado en 1991 y diseñado para ser eficaz. Ofrece un encriptamiento muy poderoso, pues usa una llave de 128 bits.

• RSA. Nombrado en honor de Rivest, Shamir y Adelman, sus diseñadores. Un algoritmo de llave pública que soporta una longitud de llave variable, así como tamaño variable del bloque de texto a encriptar. El bloque de texto simple debe ser más pequeño que la longitud de la llave. La longitud común de la llave es 512 bits.

• Diffie-Hellman. El criptosistema de llave pública más antiguo todavía en uso. No soporta el encriptamiento ni las firmas digitales. El sistema está diseñado para permitir que dos individuos se pongan de acuerdo en una llave compartida, aunque sólo intercambian mensajes en público.

• DSA, Digital Signature Algorithm (Algoritmo de firma digital), desarrollado por NIST con base en el llamado algoritmo "El Gamal". El esquema de firma usa el mismo tipo de llaves que Diffie-Hellman, y puede crear firmas más rápido que RSA. Impulsado por NIST como DSS, Digital Signature Standard (Estándar de firma digital), aunque su aceptación está lejos de ser segura.

De hecho, ahora parece como si Internet hubiera ganado un exceso de riquezas en cuanto a la seguridad, con una variedad de estándares que cubren muchos niveles de redes, desde la seguridad a nivel de paquete, hasta la seguridad a nivel de aplicación. Aunque todavía se considere a Internet como un medio inseguro, debido a su naturaleza descentralizada, es importante señalar que los datos involucrados en las transacciones que usen estos protocolos pueden estar seguros.

Algunos de los estándares de seguridad para Internet:  
 

Estándar	Función	Aplicación
Secure HTTP (S-HTTP).	Asegura las transacciones en el web.	Exploradores, servidores web, aplicaciones para Internet.
Secure Sockets Layer (SSL).	Asegura los paquetes de datos en la capa de la red.	Exploradores, servidores web, aplicaciones para Internet.
Secure MIME (S/MIME).	Asegura los anexos de correo electrónico en plataformas múltiples.	Paquetes de correo electrónico con encriptamiento RSA y firma digital.
Secure Wide-Area Nets (S/WAN).	Encriptamiento punto a punto entre cortafuegos y enrutadores.	Redes virtuales privadas.
Secure Electronic Transaction (SET).	Asegura las transacciones con tarjeta de crédito.	Tarjetas inteligentes, servidores de transacción, comercio electrónico.

 
 

Tres maneras en que los estándares de seguridad se usan en las redes.  
 

Los estándares pueden proporcionar seguridad de conexión y de aplicación.

Los estándares cubiertos aquí se pueden clasificar de acuerdo a si proporcionan seguridad de conexión o de aplicación. Los estándares, como Secure Sockets Layer (SSL-Capa de sockets segura) y Secure Wide-Area Networks (Secure WAN o S/WAN-Redes de área grande seguras) están diseñados para mantener comunicaciones seguras en Internet, aunque SSL se usa primariamente con aplicaciones para el web. Secure HTTP (S-HTTP, HTTP Seguro) y Secure MIME (S/MIME-MIME Seguro), por el contrario, están dirigidos a proporcionar autentificación y preservar el carácter privado de las aplicaciones (Secure HTTP es para aplicaciones del web, mientras Secure MIME es para correo electrónico y aplicaciones habilitadas para correo). SET va un paso más adelante al proporcionar seguridad únicamente para las transacciones de comercio electrónico.

Seguridad para aplicaciones del web: S-HTTP y SSL.

La seguridad de las aplicaciones para web gira en torno a dos protocolos, Secure HTTP y Secure Sockets Layer, que proporcionan autentificación para servidores y navegadores, así como confidencialidad e integridad de los datos para las comunicaciones entre un servidor web y un navegador. S-HTTP está diseñado específicamente para soportar el protocolo de transferencia de hipertexto (HTTP), proporcionando la autorización y seguridad de los documentos. SSL ofrece métodos de protección similares, pero asegura el canal de comunicaciones al operar más abajo en la pila de red (entre la capa de la aplicación y las capas de red y transporte TCP/IP).

S-HTTP asegura los datos, mientras SSL asegura el canal de las comunicaciones.

SSL se puede usar para otras transacciones, aparte de las de web, pero no está diseñado para manejar decisiones de seguridad basadas en autentificación a nivel de documento o aplicación. Esto significa que usted tendría que usar otros métodos para controlar el acceso a diferentes archivos.

Seguridad para correo electrónico: PEM, S/MIME y PGP.

Se ha propuesto una variedad de protocolos de seguridad para el correo electrónico en Internet, pero sólo uno o dos han recibido cierto uso extendido. El correo enriquecido con carácter privado (PEM-Privacy-enhanced mail) es un estándar de Internet para asegurar al correo electrónico usando llaves públicas o simétricas. El uso de PEM ha descendido, ya que no está diseñado para manejar el moderno correo electrónico de multipartes soportado por MIME, además de que requiere una jerarquía rígida de autoridades de certificación para emitir llaves. Secure MIME (S/MIME) es un estándar más nuevo que se ha propuesto; usa muchos de los algoritmos criptográficos patentados y cuyas licencias corresponden a RSA Data Security Inc. S/MIME depende de certificados digitales, por ello también depende de algún tipo de autoridad de certificación, ya sea corporativa o global, para asegurar la autentificación.

PGP es un estándar ad hoc para asegurar el correo electrónico en Internet.

PGP es una aplicación popular desarrollada para asegurar los mensajes y archivos, también se le conoce como Pretty Good Privacy. Probablemente sea la aplicación de seguridad para correo electrónico en Internet más usada; emplea una variedad de estándares de encriptamiento. Las aplicaciones para encriptamiento/desencriptamiento PGP están disponibles de manera gratuita para la mayoría de los sistemas operativos importantes; así, los mensajes se pueden encriptar antes de usar un programa de correo electrónico. Algunos programas de correo, como Eudora Pro, Qualcomm y OnNET, de FTP Software, pueden usar módulos conectores especiales de PGP para manejar correo encriptado. PGP se diseñó alrededor del concepto de una red de confianza que permitía a los usuarios compartir sus llaves, sin requerir una jerarquía de autoridades de certificación.

Seguridad para redes: firewalls.

Cuando usted conecta recursos en su red corporativa a una red pública, como Internet, pone en riesgo sus datos y los sistemas de cómputo. Sin un firewall, el carácter secreto de los datos y la integridad de la información misma están sujetas a un ataque. Al igual que sus contrapartes físicas en las casas y demás construcciones, los firewalls están diseñados para controlar el daño, en este caso, a sus datos y sistemas de cómputo.

CryptoAPI y CDSA.

Existen actualmente dos esfuerzos importantes para simplificar la tarea del desarrollador que incorpora métodos criptográficos en las aplicaciones de plataformas para PC: CryptoAPI de Microsoft y Common Data Security Architecture (CDSA, Arquitectura común para seguridad de los datos) de Intel.

Microsoft ha desarrollado Internet Security Framework (Esquema de trabajo para seguridad en Internet) para usarse con Microsoft Windows 95, 98 y Microsoft Windows NT. Un componente significativo del esquema de trabajo es CryptoAPI, que es una interfaz para programación de aplicaciones (API), al nivel del sistema operativo. CryptoAPI proporciona a los desarrolladores de Windows un medio de llamar funciones criptográficas, por ejemplo, algoritmos de encriptamiento, a través de una interfaz estandarizada. Debido a que es modular, CryptoAPI permite que los desarrolladores sustituyan un algoritmo criptográfico por otro, de acuerdo con sus necesidades. CriptoAPI también incluye opciones para procesar y manejar certificados digitales.

CDSA, de Intel, ofrece mucha de la funcionalidad de CryptoAPI, pero está diseñada para ser interplataforma desde un principio, y no sólo para Windows. Entre las compañías que instrumentan CDSA en sus productos figuran Netscape, Datakey, VASCO Data Security y Verisign.

Los firewalls pueden proporcionar protección contra ataques a los protocolos o aplicaciones individuales, y ser eficaces en la protección contra impostores.5 Instrumentan controles de acceso basados en los contenidos de los paquetes de datos que se transmiten entre dos partes o dispositivos en una red.

Los firewalls proporcionan un punto único de control para la seguridad de la red.

Una de las ventajas más importantes de un firewall es que proporciona un punto de control único para la seguridad en una red. Aunque claro, esto puede revertirse contra usted, ya que el cortafuego también puede ser un punto único de falla y, por lo tanto, recibir la atención concentrada de los intrusos.

Los firewalls no preservan el carácter privado ni autentifican los datos, ni pueden proteger una red contra los virus.

Recuerde que los firewalls no son la panacea para los problemas de seguridad en Internet. Por ejemplo, no verifican la presencia de virus, así que no pueden garantizar la integridad de los datos. Por otra parte, no autentifican la fuente de los datos, y en la mayoría de los casos, no garantizan la confidencialidad de los datos tampoco. Sin embargo, se están desarrollando nuevos protocolos que manejen la autentificación y confidencialidad de los paquetes de datos en Internet.

Aunque los firewalls pueden ayudar a proteger sus datos y sistemas, las redes corporativas a menudo dependen de oficinas enlazadas dispersas por una ciudad, condado, estado o el mundo entero. Hoy en día se realizan trabajos para asegurar las redes basadas en IP6, por ejemplo, aquellas que forman Internet, al nivel de red, cosa que posibilitará que los negocios creen sus propias redes virtuales privadas (VPNs), usando Internet como una alternativa a las costosas líneas arrendadas.

Los protocolos S/WAN para autentificar y encriptar paquetes ayudarán a asegurar la compatibilidad entre los distintos vendedores de enrutador y firewalls.

Un grupo de vendedores de firewalls y enrutadores han formado una iniciativa llamada "S/WAN" (Secure Wide Area Networks-Redes de área grande seguras). Se han dado a la tarea de instrumentar y probar los protocolos sugeridos por la IETF-Internet Engineering Task Force (Fuerza de tareas de ingeniería en Internet) para asegurar los paquetes IP. Estos protocolos incluyen métodos para autentificar y encriptar paquetes, así como un método para intercambiar y manejar las llaves requeridas para los procesos de autentificación y encriptamiento. Los protocolos S/WAN ayudarán a asegurar la interoperabilidad entre los vendedores de enrutadores y firewalls, haciendo más fácil que las oficinas corporativas separadas geográficamente, así como los socios que formen una corporación virtual, se comuniquen con seguridad por Internet.