En algún punto, la seguridad siempre se basa en la confianza. Si se trata de una casa confiamos en las rejas; una caja fuerte, confiamos en la dificultad de la combinación; si es un candado, confiamos que solo nuestra llave lo abre. Pero sabemos que pueden ser vulnerables!
Lo mismo ocurre con las comunicaciones en la web, dónde la confianza está puesta en los intermediarios. Qué significa esto? Por ejemplo, cuando accedemos al home banking para administrar los fondos de nuestra cuenta, nos conectamos al servidor web del banco a través de múltiples intermediarios.
Supongamos que estamos en nuestro trabajo, abrimos el navegador en la PC que nos dieron (no es nuestra, por lo que no la instalamos nosotros) conectados a la red de la empresa, la cual se conecta al proveedor de internet (ej: Speedy, Arnet, etc), este proveedor se puede conectar a otros operadores de la red Internet, luego se conecta al proveedor de Internet de nuestro banco, y finalmente, al cabo de todo ese recorrido, la conexión llega al servidor donde está el sistema de home banking. Son muchos los intermediarios que transmitirán nuestra comunicación privada con el banco.
Realmente, los especialistas no confiamos en los intermediarios, por eso se inventó una manera de cifrar la información para que no la puedan leer ni falsificar. Cuando la comunicación web está cifrada, la dirección web en el navegador comienza por «https://…» en vez de «http://…», la s se supone que significa seguridad.
Vamos a explicar de manera accesible para todos (y todas) cómo funciona, y cómo se puede espiar y alterar, las comunicaciones cifradas en la web.
Para simplificar, vamos a explicarla con ejemplos del mundo físico, que todos conocemos bien. Supongamos que yo, Pablo, quiero enviar información confidencial a Pedro, a través de un mensajero, sin que el mensajero ni nadie pueda leerlo en el camino. Un sobre sería fácil de violar. Entonces antes de enviar información confidencial, le envío una carta simple a Pedro pidiéndole me envíe un candado abierto del cuál solo él tenga la llave. Cuando el mensajero vuelve trayendo el candado de Pedro, guardo en una cajita blindada el documento confidencial, la cierro con el candado y se la entrego al mensajero para que la devuleva Pedro con el mensaje. Pedro es el único que tiene la llave del candado para leer la información confidencial que le envié. Sencillo, ¿verdad?
Pero el mensajero podría haber cambiado el candado por uno que él pudiera abrir, luego de leer la información pondría el candado original de Pedro y le entregaría el mensaje. Con lo cual nuestro sistema necesita algunas precauciones más. Para evitar que el mensajero cambie los candados, acuerdo con Pedro que los candados tendrán número de serie tan particular que haga prácticamente imposible para el mensajero encontrar un candado con el mísmo número de serie, entonces si lo cambia me daré cuenta inmediatamente y no enviaré la información.
A grandes rasgos, ese es el mecanismo de seguridad de la web. En el mundo digital se lo llama método de claves pública/privada, la clave pública es un candado que permite cifrar el mensaje de tal manera que solo pueda descrifrarlo quien tenga la correspondiente clave privada, es la llave que abre el candado. Los supuestos codigos de serie que permitirían verificar la autenticidad del candado, son unos servicios llamados CA (Autoridades de Certificación, siglas en inglés) que se encuentran en nuestro navegador web.
El sistema es bueno, pero seguimos confiando en algo: en que la lista de CA en el navegador que estamos usando es correcta. Al menos ahora el asunto está en nuestras manos.
Pero si alguien pudiera acceder a nuestro navegador y alterar la lista de Autoridades de Certificación, veríamos como válidos los candados adulterados.
En realidad, es fácil adulterar nuestro navegador, y es que nadie verifica la lista de CAs que tiene su navegador! Si uno instala sus propios navegadores y los descarga desde el sitio web original del desarrollador, puede estar mas o menos seguro de que usa un navegador no adulterado, pero si uno navega en la red de una empresa, o en cybers/locutorios, o mediante un celular, entonces ¡casi seguro el navegador fue instalado por un tercero en el cual creemos que podemos confiar!
Hecha la ley, hecha la trampa, y los sistemas preparados para interceptar las comunicaciones supuestamente seguras existen y ¡están disponibles en internet!
Si se dan maña podrán probar por ejemplo este software y experimentar interceptando sus propias comunicaciones. (No intercepten comunicaciones de terceros si no están seguros de lo que hacen, podrían tener serios problemas legales!).
En un próximo artículo explicaremos cómo verificar, fácilmente y sin conocimientos técnicos especializados, si sus conexiones cifradas están siendo espiadas por algún intermediario. Mientras tanto… ¡¡a seguir confiando!!!