¿Está el SSL introduciendo malware en su empresa?

Todos conocemos SSL, ese componente criptográfico vital que protege nuestras comunicaciones en línea. Protege las comunicaciones entre los navegadores web que utilizamos y los servidores donde se alojan sitios web como éste. Reconocerás un sitio web seguro por el símbolo del candado o el uso de HTTPS en la dirección.

Y, en términos generales, SSL es algo bueno. Cualquier transacción que involucre información financiera, como operaciones bancarias o compras en línea, utiliza SSL para mantener su información privada. Pero recientemente ha habido un impulso para asegurar todo el tráfico de Internet con SSL, no sólo el tráfico que contiene combinaciones de nombre de usuario y contraseña o datos financieros. Noticias que acaparan titulares, como las revelaciones sobre la vigilancia masiva global de Edward Snowden, significan que cada vez más usuarios exigen encriptación en línea, y los proveedores están felices de complacerlo.

Por eso su uso está aumentando; la mayoría de los sitios web más populares del mundo, como Google, Amazon y Facebook, ahora tienen HTTPS (que proporciona encriptación SSL) activado de forma predeterminada en todo el tráfico. Se estima que para finales de 2015 más de la mitad del tráfico mundial de Internet estará cifrado. (Esto se debe principalmente a Netflix, que representa un gran porcentaje del tráfico de Internet y está cambiando a HTTPS).

Si bien no hay duda de que cifrar el tráfico de Internet protegerá más de nuestros datos confidenciales, en realidad implica mayores riesgos para las empresas. Esto se debe a que muchos dispositivos de seguridad empresariales no detectan el contenido del tráfico cifrado, lo que significa que el malware puede infiltrarse sin ser detectado.

Los firewalls, puertas de enlace web, sistemas de prevención de intrusiones y más pueden tener dificultades para detectar malware que llega a través de tráfico cifrado. Podría resultar una pesadilla para las empresas si los ciberdelincuentes pueden ocultar malware dentro de una transacción supuestamente segura. Y esto funciona en ambos sentidos: el malware no solo puede llegar sin ser detectado, sino que también puede enviar información confidencial a su controlador en una transacción cifrada que la mayoría de las herramientas de seguridad no detectarían.

Un ejemplo de esto es el malware bancario Dyre . Según los informes , este malware era capaz de robar información antes de que se activara el cifrado y enviarla de vuelta al servidor de comando y control bajo la apariencia de tráfico cifrado legítimo. Esencialmente, la sesión parece segura porque se muestra el símbolo del candado, pero detrás de escena se están filtrando datos confidenciales.

De hecho, cualquier sitio web sospechoso puede distribuir malware y, si la sesión está cifrada, las herramientas de seguridad no pueden determinar cuál es el contenido real de ese tráfico ni a dónde se dirige. Dispositivos como el servidor proxy o la puerta de enlace de filtrado de URL son completamente ciegos a esto.

Es un problema muy real al que se enfrentan las empresas. Las cifras de Gartner indican que menos del 20% de las organizaciones que utilizan firewalls, IPS o UTM descifran el tráfico SSL, lo que significa que el malware oculto dentro del tráfico SSL podría eludir esas plataformas de seguridad. Gartner también afirma que para 2017, más del 50% de los ataques de red dirigidos a empresas utilizarán SSL para eludir la seguridad.

¿Cómo pueden las empresas asegurarse de no ser atacadas por malware oculto en el tráfico cifrado? La respuesta simple sería descifrar ese tráfico, pero la pregunta es cómo hacerlo sin invadir la privacidad o dejar datos sensibles expuestos a ataques.

Por lo tanto, la cuestión es saber qué tráfico debe descifrarse. Si una empresa ofrece contenido a usuarios externos, necesita utilizar algún tipo de dispositivo para descargar el tráfico SSL del servidor y luego insertar protección en el flujo de tráfico. Esto romperá el SSL, pero de manera inteligente; no quieres descifrar una sesión bancaria pero sí una sesión de Facebook.

La seguridad debe tener la inteligencia para entender hacia dónde va el tráfico y luego tomar una decisión sobre si debe descifrarse o dejarse como está. Está rompiendo SSL, pero de una manera segura e inteligente.