La realidad es que las conexiones seguras, en las que se encriptan los datos usando la tecnología SSL (Secure Sockets Layer) antes de transmitirlos por la web, cada vez son más utilizadas para ocultar y difundir código malicioso, según un informe del fabricante de antivirus Kaspersky Labs.
El caso es que esto no es nuevo, de hecho los analistas de seguridad llevan tiempo advirtiendo de la posibilidad de que los hackers aprovechen las conexiones SSL encriptadas para introducir virus y otros códigos maliciosos a través de los cortafuegos, los antivirus y los sistemas de detección de intrusiones. Pero la tremenda expansión de SSL y su uso por parte de bancos, tiendas, sitios de comercio electrónico y proveedores de e-mail ha hecho saltar las alarmas.
Shane Coursen, consultor técnico senior de Kaspersky, admite que “mucha gente al ver la imagen del candado en el navegador web asume que la conexión que tiene con el servidor es segura” y presta poca atención a los datos que se intercambian. Esa conexión realmente se usa para verificar la identidad de aquel con el que intercambiamos información, y la encriptación se usa para evitar que alguien pueda ver o modificar el contenido de la comunicación. Pero generalmente nadie valida el contenido que se transmite durante esas sesiones, por lo que los hackers podrían usar esas conexiones para transmitir y difundir códigos maliciosos, incluyendo troyanos y gusanos de e-mail en clientes y servidores.
Aunque la tecnología tiene un uso válido y proporciona cierto nivel de seguridad, sigue permitiendo a los hackers aprovecharse de las aplicaciones subyacentes. “Las herramientas antivirus tradicionales y los sistemas de detección de intrusiones son inadecuados porque no han sido diseñados para detectar malware en una conexión encriptada”, afirma Coursen.
Poco a poco están surgiendo herramientas para evitar este problema, según Pete Lindstrom, analista de la firma Midvale. “Los fabricantes de sistemas de detección de intrusiones, por ejemplo, ofrecen herramientas que pueden interceptar un flujo de datos encriptados, escanear los contenidos en busca de malware y dejarlo pasar a su destino en modo encriptado”, afirma.
Según el informe de Kaspersky, no obstante, el problema de esta opción es que el flujo de datos es modificado, lo que implica que el servidor web no puede verificar la autenticidad del cliente y que el cliente no puede verificar la autenticidad del servidor. Muchos fabricantes de antivirus ofrecen también plu-ings que permiten inspeccionar el contenido de las conexiones seguras. “Pero algunas aplicaciones como Microsoft Outlook y Outlook Express no funcionan muy bien con esos módulos”, concluye Coursen.
