ACCV - Ir al inicio Mapa del Web
VALENCIÀ ACCV Legislación Gestión de Certificados Solicitar Certificados Soporte Contactar Acceso Zona Segura
ACCV

Información General
Puntos de Registro
ACCV-Informa
Aplicaciones
Noticias
Convenios
Mapa del Web


Descargar Certificados de la autoridad de Certificación (CA)
Área personal de Servicios de Certificación
Solicitar un Certificado
Estado de los Certificados
Formulario de Atención al Usuario
Autoridad de Certificación y Web de Confianza
 

Noticias


SEGURIDAD, EL FUTURO DE LA FIRMA ELECTRÓNICA Y LOS CERTIFICADOS DIGITALES



El pasado 14 de Noviembre se celebró en el Salón de Actos de la Facultad de Informática de la Universidad Politécnica de Valencia el primer ciclo de conferencias ISACA-CV 'Rafael Bernal' organizado por el capítulo de ISACA en la Comunidad Valenciana, ISACA-CV, sobre Auditoría, Seguridad y Gobierno-TI, en la que se abordaron temas muy diversos y con ponentes de perfiles muy dispares: abogados, economistas e ingenieros, entre otros.

Durante toda la jornada expusieron sus ideas y experiencias auditores y expertos en distintas áreas como la abogacía o la seguridad de la información. Se hizo un repaso a las normativas ISO, que sirven como buenas prácticas, y leyes como la LOPD, desde puntos de vista legales y desde perspectivas mucho más técnicas. Sin duda, se puso de manifiesto que la necesidad de profesionales en auditoría (financiera, de sistemas, intrusión, forense...) y expertos en seguridad va en aumento y el grado de especialización cada día es mayor.

Como se pudo comprobar en las jornadas, es evidente que cada vez más existen leyes y normativas que exigen la puesta en marcha de nuevos controles, la mejora de la seguridad en los procesos de negocios y una mayor concienciación de la seguridad, con el fin de regular los procesos que se apoyan en  los sistemas de información. Por poner un ejemplo de actualidad, el nuevo estándar de seguridad en los datos de la industria del pago con tarjeta de crédito PCI regula como se deben de realizar las transacciones electrónicas con tarjeta cuando se realicen pagos usando los sistemas de información y para ello define claramente que: se debe de crear y mantener una red segura, se debe de proteger los datos de las tarjetas (entre otras cosas las transacciones donde se haga uso de estos datos deberán ir siempre cifradas), hay que tener un programa de gestión de vulnerabilidades (se deberá mantener actualizados los sistemas y las aplicaciones), es imprescindible hacer uso de fuertes medidas de control de acceso, se debe de monitorizar y testear las redes (realizar test de la seguridad de la red y monitorizar los accesos a los recursos con tarjetas) y por último hay que mantener una Política de Seguridad. Resumiendo, cada vez más se requiere un marco normativo y técnico, y un conocimiento del mismo,  más específico y profundo.

Por otro lado tenemos que el desarrollo de la Sociedad de la Información ha supuesto que  los usuarios finales usen Internet y las nuevas tecnologías, confiando en éstas para realizar tareas como solicitar una vida laboral por Internet, realizar la matrícula de la Universidad, o realizar transferencias bancarias vía telemática. En éste desarrollo de la Sociedad de la Información las Administraciones Públicas están haciendo de catalizador favoreciendo el desarrollo de servicios que ahora son accesibles vía telemática.

Y ahora cabría preguntarse, en todo este marco normativo, desarrollo de nuevas tecnologías e involucración del usuario final, ¿qué futuro hay para los certificados digitales y la firma digital?. Pues el futuro se puede decir que es bastante halagüeño.
En primer lugar, y empezando por el usuario final, éste cada vez realiza más operaciones a través de Internet con la Administración Pública y con la Banca on-line, como ejemplos más comunes.  Hasta ahora, el sistema de identificación/autenticación del usuario ha sido bastante pobre y vulnerable, que amenazas como el robo de credenciales y phising han aprovechado y aprovechan de manera reiterada. Es por ello que la Banca on-line, la más perjudicada en términos económicos, está tomando medidas al respecto e implantando controles de acceso mucho más robustos donde se hace uso de certificados digitales y tokens que los integran. El ejemplo más destacado son los bancos que actualmente están haciendo uso del certificado del DNI electrónico como mecanismo de autenticación, acotando así las posibilidades de un ataque exitosos de phising o robo de credenciales. Pero eso es solo la punta del iceberg, ya que son muchas las entidades bancarias que están haciendo uso de certificados digitales emitidos por distintos Prestadores de Servicios de Certificación para este menester.

En segundo lugar, y mirándolo desde el ángulo de desarrollo de aplicaciones, tenemos que las aplicaciones cada vez son mucho más complejas y hacen un uso mayor de capas como SSL para garantizar principalmente la confidencialidad en la comunicaciones. Ahora, son cantidad de aplicaciones las que se desarrollan siguiendo un esquema cliente-servidor que se aprovecha de la flexibilidad del protocolo HTTP (y la cantidad de tecnologías y lenguajes que pueden integrar la Web), para permitir el acceso remoto a un sin fin de funcionalidades que antes obligaban a hacerse de manera local, por ejemplo aplicaciones de calendario, gestores de incidentes o gestores de documentación. El ejemplo más significativo quizás sea Google y su sistema Single-sing-on, donde un usuario autenticado en el tiene acceso a crear documentos de office, leer el correo, acceder a su calendario, leer las RSS, crear un blog, subir fotografías personales y un montón de más servicios, y todo ello con un navegador web (sin la necesidad de instalar ninguna aplicación) y SSL como capa de seguridad adicional. Aprovechando estas mismas sinergias de la Web, muchas aplicaciones requieren instalar plugins en el lado del cliente para el correcto funcionamiento de la aplicación de manera remota, sin duda, es fundamental que esos plugins en forma de Applet, ActiveX u objetos .NET garanticen la integridad y la autenticidad del mismo para evitar ejecutar código de procedencia desconocida o incontrolada. Aquí es donde los certificados de firma de código están adoptado un papel primario.

Todas estas integración de diferentes tecnologías y certificados digitales no queda únicamente aisladas al usuario que accede desde el ordenador del trabajo o de casa, si no que hay que moverlo al entorno móvil del que hoy en día disfrutamos. BlackBerrys para ver el correo, PDAs con navegador Web, Teléfonos móviles con Java que permiten leer el correo y una amalgama de dispositivos que permiten hacer las mismas operaciones y funciones que con un ordenador portátil: hacer compras por Internet, realizar una transferencia bancaria o reservar las entradas para el cine, preservando siempre la seguridad. Es decir, hay que extrapolar y adaptar muchos de los modelos de seguridad que hasta ahora se han desarrollado a un entorno mucho más dinámico y móvil. Pero nuevas amenazas y vulnerabilidades surgen en éste entorno mucho más dinámico. Hay que ser conscientes que un dispositivo de pequeño tamaño que almacena información privada o confidencial, como el correo electrónico corporativo, es mucho más fácil que sé extravíe o sea robado, por lo que el cifrado de datos y los correos cifrados en entornos móviles van a jugar un papel muy destacado y van a ser punto de referencia en las políticas de seguridad corporativas, en el desarrollo de tecnologías y controles compensatorios que sirvan de inhibidor para los posibles problemas de seguridad en la movilidad.

Además, esta movilidad también condiciona el acceso remoto a la red corporativa cuando se necesita acceso externo a la red interna por protocolos seguros, como es necesario para el teletrabajo o tareas de mantenimiento. Por nombrar algunas,  el desarrollo de proyectos como OpenVPN que permiten mediante ecapsulamiento de paquetes IP en segmentos TCP con la correspondiente capa SSL para garantizar la seguridad, o el uso de protocolos más complejos como IPsec, son tecnologías en auge que integran certificados digitales tanto en la parte servidora (SSL o servidor VPN) como en los usuarios que acceden a el, y que sin duda son el presente y futuro de la conectividad remota.

Tal y como iniciaba este artículo, el marco normativo y la mejora en los procesos de negocio obliga a tener presente que la seguridad de la información no es algo opcional en la era de la Sociedad de la Información y es por ello que los certificados digitales en todas sus formas no es una tecnología baladí para conseguirlo.

 

Ángel Alonso Párrizas
Ingeniero de Seguridad de la ACCV

 

30/11/2007

Volver al resumen de noticias.