Introducción
Con la llegada del buen tiempo y los períodos vacacionales, no somos pocos los que emigramos a la playa para descansar, relajarnos y olvidarnos de todo durante unos días. En un mundo movido por la tecnología parece casi de obligado cumplimiento ir a donde quiera que vayamos con nuestros dispositivos, y por supuesto proveernos con conexiones datos móviles, y cuando podemos conectarnos a redes WIFI externas. Y de eso vamos a hablar hoy, de algo que parece no entrarle en la cabeza a muchos, “Conexiones WFI de terceros”.
Todos preferimos como es natural conexiones WIFI a conexiones de datos, ya sea en dispositivos móviles y ordenadores. El problema fundamental es que si nos conectamos a una red que NO CONTROLAMOS no podemos saber que está pasando realmente en ella en gran medida, y eso nos deja (o puede dejar) totalmente vendidos, como veremos más adelante. La regla debería de ser muy sencilla: Si nos conectamos a una red desconocida, no quejarse de las consecuencias, y eso va por todos aquellos que les gusta llegar a cualquier sitio y buscar alguna red abierta o alguna red segura de la que pueda obtener la contraseña.
En teoría, en un mundo perfecto, todas las comunicaciones deberían de ir cifradas punto-a-punto para que fuese imposible interceptar dicha comunicación. Ese es el planteamiento inicial de los protocolos seguros como TLS/SSL, que nacieron de la necesidad de poder enviar y recibir datos a través de Internet sin miedo a que un tercero pudiese interceptar dicha comunicación. En las redes privadas/públicas (ya sean WIFI o Ethernet) esto toma un cariz muy especial, dado que la mayoría de las veces a nuestra misma red están conectados otros usuarios, ya sean nuestros propios familiares en caso de una red doméstica, ya sea algún vecino que logró obtener nuestra clave WIFI, ya sean todos los alumnos de la red de una universidad… etc etc etc. En estas redes, cualquiera de ellos podría ser un “tercero” que malignamente quisiese interceptar la comunicación de uno de los usuarios de dicha red. Si todo el tráfico fuese en texto plano (sin cifrar), ese usuario malvado podría sin ningún esfuerzo espiar TODAS las comunicaciones desde y hacia Internet de ese usuario. La implementación de protocolos seguros como TLS/SSL imposibilita esto dado que toda la información que sale del dispositivo del usuario se manda y recibe cifrada, y la codificación se realiza en el mismo dispositivo. ¿Pero es esto fiable? Bien implementado y con políticas de seguridad correctas debería de serlo… pero ahí es donde entran los expertos en seguridad para dar tirones de oreja a los programadores, que como personas humanas cometen errores de seguridad.
Para no alarga demasiado la historia, voy a resumir muy brevemente como es posible la comunicación TLS/SSL para garantizarnos la seguridad. Quien sepa como funciona que salte la sección si lo desea.
TLS/SSL
TLS/SSL es posible a lo que podemos llamar cadenas de confianzas de certificados. Un servidor posee un certificado de seguridad que además de servirle para todas las tareas de cifrado lo identifican de forma inequívoca. De este modo cuando un usuario quiere realizar una conexión segura hacia él, lo primero que hace este servidor es enviar este certificado como carta de presentación. El dispositivo del usuario por su parte (el navegador, aplicación…) antes de realizar la configuración del canal seguro, verifica como es natural … Leer Más...