¿Qué es la inspección HTTPS?

La inspección del tráfico puede ayudar a las organizaciones a detectar el malware, pero los riesgos de seguridad de la inspección HTTPS requieren una profunda reflexión.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Describir cómo funciona la inspección HTTPS
  • Explicar cómo los atacantes utilizan HTTPS para camuflar su actividad
  • Comprender las alternativas para mitigar el riesgo de ataque

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es la inspección HTTPS?

La inspección de HTTPS es el proceso de comprobar el tráfico web encriptado utilizando la misma técnica que un ataque en ruta en la conexión de red. Esta es una función de algunos dispositivos de red corporativos, firewalls y productos de gestión de amenazas.

Una organización puede querer inspeccionar el tráfico HTTPS para buscar malware, identificar los intentos de exfiltración de datos y bloquear el acceso a determinados sitios web. El malware supone un problema de seguridad, porque puede paralizar las operaciones de la empresa, robar datos o hacer que los archivos se vuelvan inaccesibles.

La inspección de HTTPS recibe muchos nombres, como inspección SSL, inspección TLS, rotura e inspección TLS, e interceptación de HTTPS.

¿Cómo funciona la inspección de HTTPS?

Cuando una organización utiliza la inspección de HTTPS para protegerse del malware, emplea un producto que establece dos conexiones encriptadas separadas, y se hace pasar por el cliente y el servidor. El producto busca amenazas maliciosas para bloquearlas, todo ello sin que el cliente sepa que no hay una sola conexión validada de extremo a extremo.

Como ejemplo, imaginemos que un estudiante pasa una nota a un amigo en clase sin darse cuenta de que la persona sentada entre ellos puede leer el contenido del mensaje. En este escenario, el remitente cree que la nota está sellada en tránsito, sin darse cuenta de que puede abrirse y cerrarse sin ninguna señal evidente. Sin embargo, la inspección de HTTPS difiere de este ejemplo en un aspecto importante: el remitente no es consciente ni siquiera de la presencia de un intermediario.

Normalmente, cuando un sitio web utiliza TLS, el dispositivo del cliente (el ordenador o el teléfono inteligente del usuario) se conecta directamente al servidor del sitio web y establece una conexión encriptada. Una vez se ha establecido la conexión encriptada, el tráfico entre el cliente y el servidor está completamente encriptado, y nadie que esté en el medio puede ver el tráfico.

Durante la inspección de HTTPS, el producto establece dos conexiones SSL: una con el servidor y otra con el cliente. Desde el punto de vista del cliente, se conecta directamente al servidor sin ningún intermediario. En cambio, el tráfico se redirige al producto de inspección, que se hace pasar por el sitio web. Tiene la capacidad de ver, alterar y bloquear el contenido.

¿Cómo puede enviar malware el tráfico seguro?

En los primeros tiempos de Internet, el tráfico se enviaba por HTTP en texto plano. Esto significa que no había nada encriptado, y si alguien interceptaba el tráfico, todos sus datos quedaban expuestos.

Con HTTPS, la versión segura de HTTP, el tráfico está encriptado. El cliente y el servidor pasan por un proceso de comunicación de ida y vuelta para establecer una conexión segura.

El HTTPS protege el tráfico de Internet para que no pueda ser vigilado por personas no autorizadas. Sin embargo, también puede ayudar a agentes perjudiciales a ocultar su rastro. HTTPS encripta y oculta todo tipo de datos, ya sean los datos bancarios de una persona o el malware de un atacante.

El icono del candado de un navegador para una conexión HTTPS significa que los datos que van entre un usuario y un servidor están encriptados, no que se garantice que todo lo relacionado con el sitio web esté protegido contra ataques o el snooping. Un sitio web gestionado por una empresa de confianza, como una institución financiera, podría tener un fallo de seguridad y suponer una amenaza para los usuarios sin saberlo. Por otra parte, un atacante podría crear un sitio web malicioso que parezca seguro porque tiene un certificado SSL y encripta el tráfico.

¿Cuáles son los riesgos de la inspección de HTTPS?

Si se hace de forma incorrecta, la inspección de HTTPS puede crear vulnerabilidades de seguridad. Para el tráfico normal, no inspeccionado, un navegador puede validar la conexión de extremo a extremo; al verificar que el certificado es válido asegura que el cliente se está comunicando con el servidor que posee el dominio.

Al interrumpir este proceso, la inspección puede introducir varios problemas si no se tiene el debido cuidado:

  • La encriptación posterior a la inspección puede ser menos segura, especialmente si el producto de inspección no utiliza los estándares criptográficos actuales
  • Algunos productos de inspección no validan correctamente las cadenas de certificados, lo cual aumenta la posibilidad de que un delincuente realice un ataque separado en la ruta
  • Aunque los navegadores se actualizan con frecuencia y de forma automática para abordar nuevos problemas de seguridad, el producto de inspección puede quedarse atrás en cuanto a las mejores prácticas de seguridad, como la compatibilidad con la última versión del protocolo de Transport Layer Security (TLS)

¿Cuáles son las ventajas de la inspección de HTTPS?

La inspección de HTTPS proporciona:

  • Mayor visibilidad del tráfico de red y de los riesgos potenciales
  • Una mayor posibilidad de bloquear ataques maliciosos en la red de una organización
  • Una mayor capacidad para hacer cumplir las políticas de seguridad de la empresa

¿Cuáles son las alternativas a la inspección de HTTPS?

No existe un único método ampliamente aceptado para combatir el malware oculto en el tráfico HTTPS. Entre las medidas que pueden ayudar, se incluyen:

  • Usa firewalls que inspeccionen los certificados de seguridad sin romper la encriptación para identificar comportamientos sospechosos
  • Abordar los riesgos derivados de los empleados en su origen, por ejemplo, al limitar su capacidad de descargar software no aprobado y mejorar la supervisión de los puntos de conexión
  • Ajustar las reglas de inspección profunda de paquetes en un firewall
  • Emplear filtrado de DNS y una puerta de enlace web segura para bloquear las conexiones con sitios web o servidores no seguros
  • Utilizar el aislamiento de navegador para confinar la actividad de navegación a un entorno seguro y evitar que el código no seguro se ejecute dentro de la red

Mas información acerca de cómo Cloudflare Gateway bloquea el malware y otros riesgos a la vez que proporciona una supervisión del tráfico casi en tiempo real.