La inspección del tráfico puede ayudar a las organizaciones a detectar el malware, pero los riesgos de seguridad de la inspección HTTPS requieren una profunda reflexión.
Después de leer este artículo podrás:
Contenido relacionado
¿Seguridad de aplicaciones web?
¿Qué es una fuga de datos?
¿Qué es Meltdown/Spectre?
Firewall
Ataques en ruta
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
La inspección de HTTPS es el proceso de comprobar el tráfico web encriptado utilizando la misma técnica que un ataque en ruta en la conexión de red. Esta es una función de algunos dispositivos de red corporativos, firewalls y productos de gestión de amenazas.
Una organización puede querer inspeccionar el tráfico HTTPS para buscar malware, identificar los intentos de exfiltración de datos y bloquear el acceso a determinados sitios web. El malware supone un problema de seguridad, porque puede paralizar las operaciones de la empresa, robar datos o hacer que los archivos se vuelvan inaccesibles.
La inspección de HTTPS recibe muchos nombres, como inspección SSL, inspección TLS, rotura e inspección TLS, e interceptación de HTTPS.
Cuando una organización utiliza la inspección de HTTPS para protegerse del malware, emplea un producto que establece dos conexiones encriptadas separadas, y se hace pasar por el cliente y el servidor. El producto busca amenazas maliciosas para bloquearlas, todo ello sin que el cliente sepa que no hay una sola conexión validada de extremo a extremo.
Como ejemplo, imaginemos que un estudiante pasa una nota a un amigo en clase sin darse cuenta de que la persona sentada entre ellos puede leer el contenido del mensaje. En este escenario, el remitente cree que la nota está sellada en tránsito, sin darse cuenta de que puede abrirse y cerrarse sin ninguna señal evidente. Sin embargo, la inspección de HTTPS difiere de este ejemplo en un aspecto importante: el remitente no es consciente ni siquiera de la presencia de un intermediario.
Normalmente, cuando un sitio web utiliza TLS, el dispositivo del cliente (el ordenador o el teléfono inteligente del usuario) se conecta directamente al servidor del sitio web y establece una conexión encriptada. Una vez se ha establecido la conexión encriptada, el tráfico entre el cliente y el servidor está completamente encriptado, y nadie que esté en el medio puede ver el tráfico.
Durante la inspección de HTTPS, el producto establece dos conexiones SSL: una con el servidor y otra con el cliente. Desde el punto de vista del cliente, se conecta directamente al servidor sin ningún intermediario. En cambio, el tráfico se redirige al producto de inspección, que se hace pasar por el sitio web. Tiene la capacidad de ver, alterar y bloquear el contenido.
En los primeros tiempos de Internet, el tráfico se enviaba por HTTP en texto plano. Esto significa que no había nada encriptado, y si alguien interceptaba el tráfico, todos sus datos quedaban expuestos.
Con HTTPS, la versión segura de HTTP, el tráfico está encriptado. El cliente y el servidor pasan por un proceso de comunicación de ida y vuelta para establecer una conexión segura.
El HTTPS protege el tráfico de Internet para que no pueda ser vigilado por personas no autorizadas. Sin embargo, también puede ayudar a agentes perjudiciales a ocultar su rastro. HTTPS encripta y oculta todo tipo de datos, ya sean los datos bancarios de una persona o el malware de un atacante.
El icono del candado de un navegador para una conexión HTTPS significa que los datos que van entre un usuario y un servidor están encriptados, no que se garantice que todo lo relacionado con el sitio web esté protegido contra ataques o el snooping. Un sitio web gestionado por una empresa de confianza, como una institución financiera, podría tener un fallo de seguridad y suponer una amenaza para los usuarios sin saberlo. Por otra parte, un atacante podría crear un sitio web malicioso que parezca seguro porque tiene un certificado SSL y encripta el tráfico.
Si se hace de forma incorrecta, la inspección de HTTPS puede crear vulnerabilidades de seguridad. Para el tráfico normal, no inspeccionado, un navegador puede validar la conexión de extremo a extremo; al verificar que el certificado es válido asegura que el cliente se está comunicando con el servidor que posee el dominio.
Al interrumpir este proceso, la inspección puede introducir varios problemas si no se tiene el debido cuidado:
La inspección de HTTPS proporciona:
No existe un único método ampliamente aceptado para combatir el malware oculto en el tráfico HTTPS. Entre las medidas que pueden ayudar, se incluyen:
Mas información acerca de cómo Cloudflare Gateway bloquea el malware y otros riesgos a la vez que proporciona una supervisión del tráfico casi en tiempo real.