Cifrado de comunicaciones

La importancia del cifrado

Generalmente cualquier comunicación que hagamos a través de internet circula 'en claro' (sin cifrar, en argot Criptográfico).

Esto significa que un usuario malintencionado que se colocase entre emisor y receptor, sería capaz de 'escuchar' esta comunicación y saber exactamente lo que se está transmitiendo.

Este hecho puede tener una mayor o menor relevancia en función de lo que transmitamos. Si estamos viendo las páginas del BOE sería irrelevante. Pero si estuviesemos accediendo a nuestros datos en hacienda o nuestra cuenta bancaria, sería harina de otro costal.

Para evitar estas situaciones existe una solución técnica que protege las comunicaciones a través del cifrado. El protocolo que habitualmente se utiliza para este cifrado se denomina SSL

¿Qué se puede cifrar?

Cualquier tipo de comunicación y servicio en internet se puede cifrar: El correo electrónico, el acceso a ciertas páginas web, etc...

¿Qué se debe cifrar?

Se deberían cifrar todas aquellas comunicaciones en las que se transmitan datos sensibles: contraseñas de usuario, datos personales, datos financieros, etc..

¿Cómo saber si estoy accediendo a páginas a través de una conexión cifrada?

• Si en la dirección de la página aparece 'https://' en vez de 'http://'
• Si vemos un candado cerrado en la barra de estado de nuestro navegador

Los certificados digitales y la confianza en la CA

Cuando establecemos una conexión cifrada (segura) con un servidor, no solo es importante saber que la conexión no va a poder ser escuchada por terceros. Además deberíamos asegurarnos de que el servidor al que nos conectamos es realmente aquel al que queremos llegar. Podría ocurrir que fuese un farsante que imitando sus páginas, desea capturar ciertos datos sensibles nuestros.

Para evitar esto, el servidor presentará un certificado digital en el que se identifica. Este certificado es emitido por una Autoridad de Certificación (CA), que es un ente que conoce al servidor y que asegura que es quién dice ser.

En la UR disponemos de una Autoridad de Certificación (URCA) que emite los certificados de todos nuestros servidores.

Nosotros los usuarios, a través de nuestros navegadores, debemos confiar en esta autoridad de certificación. Esta confianza en la URCA se establece instalando en el navegador el certificado de la CA de la UR.

Correo cifrado

El correo en la UR se puede leer, o bien a través de la herramienta webmail (via web) o bien a través de un lector de correo tipo Netscape o Outlook.

En este momento la lectura del correo via web se hace siempre de manera cifrada, de esta forma aseguramos que la contraseña del usuario en ningún caso pueda ser capturada por algún malintencionado.

En el caso de la lectura con Outlook o Netscape este cifrado no es todavía obligatorio aunque sí muy recomendable.

Para saber más...

http://www.cert.fnmt.es/tuto1.htm

Servicio Informático
si@si.unirioja.es