En la actualidad el medio de pago más usado en las tiendas electrónicas o e-commerce son las tarjetas de crédito tanto las emitidas por bancos, como la Visa o MasterCard, como aquellas emitidas por otras empresas como American Express.

Originalmente las empresas que vendían a través de Internet aceptaban tarjetas de crédito para el pago de sus productos o servicios, haciendo el cobro sobre un formulario con el número de tarjeta de crédito y la información del titular de la tarjeta, sin encriptarlo.
La justificación era que había tanto tráfico a través de Internet que no era útil tratar de capturar mensajes para encontrar el número de la tarjeta de crédito.
El proceso se llevaba a cabo de una forma transparente hasta que surgieron los primeros problemas porque los datos habían caído en manos de personas no autorizadas.

Este proceso fue reemplazado rápidamente por el uso d un protocolo de seguridad en los navegadores llamado Secure Sockets Layer o SSL.
Este protocolo requiere que el servidor tenga un certificado de seguridad quedando así, la transacción protegida de los curiosos usando criptografía simétrica.
Pero también fue un sistema que dio fallos porque no había manera de garantizar que el comprador era el titular de la tarjeta de crédito usada para el pago.

Para evitar estos problemas se creó la norma llamada Protocolo de Seguridad de Transacción Electrónica o SET que perseguía proteger la confidencialidad de la información, la integridad de la información de pago y la autentificación del comerciante y del poseedor de la tarjeta.

Con el SET es posible proteger el número de tarjeta de crédito del titular y asegurar que solo pueden usarla las personas autorizadas. Se buscaba un protocolo normalizado para todos los productos con el fin de evitar la proliferación de múltiples soluciones patentadas, que demorarían el despliegue y complicarían el proceso para bancos y comerciantes.

El SET se encarga de ofrecer los datos para todas las transacciones y que éstas queden certificadas con la firma digital.
Esto convierte al SET en un gran consumidor de certificados y a los bancos en grandes distribuidores de esos certificados.
El protocolo SET fuerza el proceso de la transacción para verificar regularmente la lista de las transacciones que puedan generarse por pérdida o robo del certificado.

Los certificados SSL son la clave de la seguridad Web, y esto lo hemos escuchado una y otra vez a lo largo de los últimos años. Pero las cosas están cambiando porque puede ser que actualmente ni siquiera podamos confiar en los SSL.

Los certificados SSL se han utilizado como herramienta de seguridad en tramites online como consultas de datos bancarios, transferencias via Web, y otras tareas de carácter privado. Además, nos han repetido múltiples veces que debemos asegurarnos de que aparece el icono del candado en la barra de direcciones del buscador siempre que realicemos trámites que exijan seguridad. Además, no sólo se empla en páginas Web de consulta, sino que podemos verlo en otras plataformas, como los servicios de mensajería instantánea o las cuentas de correo electrónico.

Sin embargo, descubrimientos recientes hallados por Wired e investigadores de Christopher Soghoian y Sid Stamm sugieren que los SSL no son tan seguros como pensábamos. Y estos defectos de seguridad no se deben al sistema SSL en sí mismo, sino a la constante conspiración de los gobiernos con las Autoridades de Certificados, una de las claves de la infraestructura del SSL, permitiéndoles espiar literalmente a quienes consideren oportuno.

Cuando experimentamos con diferentes compañías de hosting nos damos cuenta de que ninguna de las interfaces ni procesos de registro son perfectos, pero si tenemos la “suerte” de ir a panar al panel de Go Daddy nos podemos llevar sorpresas bastante desagradables. ¿Por qué? Parece ser que la compañía suele bombardear con imágenes y gif’s sobre promociones que pueden sacarnos de quicio hasta dejarnos calvos de estrés.

Por ejemplo, cuando intentamos comprar un nuevo nombre de dominio a través de la página Web de Go Daddy, encontraremos que se nos interrumpe con una ventana pop-up, ofreciéndonos el mismo nombre con otras extensiones. La verdad, cuando compramos un dominio ya hemos meditado profundamente cual es la/las extensiones que queremos, así que me parece asfixiante que nos estén ofreciendo .org, .es, .info, .biz, .name. Luego vienen los temas de SSL, paquetes de soporte al posicionamiento en Google, etc. La verdad, todo esto es bastante molesto. Deberían tratar al usuario como un comprador inteligente, y no como un cliente que no sabe lo que necesita ni lo que busca.

Eso sí, hay que decir que Go Daddy no es el único que emplea esta estrategia de venta. La mayoría de compañías de hosting sobrecargan su Web de publicidad y promociones exageradamente llamativas, ¿será que funciona?

Según Comodo Dragon, un nuevo navegador de código abierto, más de la mitad de las páginas Web que usan certificados SSL podrían ser inseguras. ¿Y a qué se debe esta afirmación tan alarmante? Resulto que hoy en día, es demasiado fácil comprar un certificado SSL para validar una página Web.

Esta tendencia es principalmente el resultado de un gran boom de ventas de certificados SSL para dominios. Hace ya un tiempo que están siendo ofrecidos por un desmesurado número de registradores, incluido Go Daddy, y la razón por la que son inseguros es que todo el mundo puede hacerse con uno de estos por un módico precio. Además, no existe un proceso de verificación que examine la página Web y valore su seguridad, con lo cual, los SSL pierden sus sentido.

De modo que, a partir de ahora, cuando veamos un certificado SSL no podremos confiar ciegamente en sus páginas. Tenlo muy presente cuando navegues por la red, la seguridad de los SSL se ha devaluado.

Los servidores Windows 2008 se fundamentan en IIS para hacer llegar las páginas Web a los usuarios, y para configurar un servidor Windows con SSL necesitamos activarlo en IIS. Pero ¿cómo podemos hacerlo? Existen diferentes formas:

• A través de la interfaz del IIS Manager
• Utilizando el comando appcomd en la terminal
• De forma programable a través de la Web de Microsoft.Web.Administration
• Utilizando scripts WMI

En esta entrada veremos como configurar las opciones SSL a través de la linea de comando, y en otros posts futuros cubriremos los otros métodos.

Los pasos que tenemos que seguir son los siguientes:

• Configuramos el archivo applicaionHost.config para la página cargada por defecto. Sólo tenemos que escribir en la consola:
  

  D:\Windows\system32\inetsrv>appcmd set config “Default Web Site” -commitPath:APPHOST -section:access -sslFlags:Ssl

  Tened cuidado con utilizar el path correcto de vuestro sistema, como muchos ya se habrán dado cuenta, este ejemplo da por hecho que tenemos la instalación de Windows en la unidad D:\.

• Si queremos utilizar SSL de 128 bits, cambiamos el valor de sslFlags a Ssl128. Sólo tenemos que introducir en la consola:

  D:\Windows\system32\inetsrv>appcmd list config “Default Web Site” -section:access

• Y el resultado del archivo será algo como esto:
  

  <system .webServer>
  <security>
  <access flags="Script, Read" sslFlags="Ssl" />
  </security>
  </system>

Vía | www.learn.iis.net
Fotografía | www.flickr.com

PuTTY ofrece una interfaz gráfica de configuración muy sencilla e integra múltiples opciones:

• Guardar las preferencias de conexión para establecerla rápidamente en el futuro
• Respuestas de puertos
• Soporte Ipv6
• Soporte SCP y SFTP

Además de ser para Windows, PuTTY ha sido portado a sistema Linux y otros sistemas operativos con núcleo Unix, y por si fuera poco, pronto veremos una versión para Mac OS X. Como muchísimas aplicaciones multiplataforma, PuTTY es de código abierto y se distribuye bajo licencia MIT. De modo que puedes descargarte libremente el programa desde la página Web del proyecto.

Vía | www.chiark.greenend.org.uk
Fotografía | www.flickr.com

En los navegadores comunes, como Firefox o Explorer, cuando estamos empleando un protocolo https podemos ver el icono de un candado, que aparece en la barra principal de nuestro navegador. Además, en la barra de direcciones podremos ver que “http://” será sustituido por “https://”.

¿Y cómo funciona la conexión exactamente? ¿Por qué es más segura? Básicamente, lo que ocurre es que la página Web codifica la sesión con certificado digital. De este modo, el usuario tiene ciertas garantías de que la información que envíe desde dicha página no podrá ser interceptada y utilizada por terceros.

Estos certificados de seguridad son conocidos como SSL. Cuando estos estás instalados en la página Web veremos el candado del que hablábamos anteriormente. Por otro lado, si están instalados Certificados de Validación Extendida, los usuarios, además del candado, podremos ver que la barra de URL’s del navegador toma un fondo verdoso. (siempre que estemos utilizando las últimas versiones de Firefox, Explorer o Opera).

Pregunta: ¿Qué son los certificados SSL?

Respuesta: A menudo nos encontramos términos que no comprendemos y no les damos la importancia que merecen, el caso de los certificados SSL es un buen ejemplo de estas situaciones. Teniendo en cuenta la poca seguridad que tenemos en Internet hoy en día, un servidor con certificado SSL se convierte en un requisito indispensable para el éxito de nuestra página Web.

Los usuarios cada vez saben más sobre los sistemas de seguridad de Internet y se fijan en el icono del prefijo “https” que debe aparecer en la barra del navegador cuando estamos haciendo trámites privados con datos personales a través de una página Web, especialmente si nos pide la numeración de nuestra tarjeta de crédito o nuestra cuenta corriente.

Si una página no tuviera certificado SSL, los usuarios la abandonarían antes de hacer cualquier trámite o compra, ya se trate de crear una cuenta nueva o simplemente suscribirse a su newsletter. Los tiempos en Internet están cambiando y los usuarios estamos más informados que antes, cualquier página que no ofrezca unas garantías mínimas de seguridad tiene todas las de perder.

El objetivo principal del phishing es obtener datos personales de usuarios, como sus nombres, contraseñas, detalles bancarios, etc. ¿Y cómo lo hacen? Haciéndose pasar por una entidad de confianza en la comunicación electrónica.

Los lugares favoritos de este tipo de crímenes son muy variados, desde plataformas de redes sociales hasta Webs de subastas. Normalmente se utilizan los servicios de e-mail o la mensajería instantánea para dar con la información privada, aunque a menudo también engañan al usuario creando Webs falsas e implementando formularios en los que nos piden introducir nuestros datos para registrarnos o cualquier otra excusa.

Incluso utilizando la autentificación de un servidor con SSL resulta muy complicado detectar que una página Web es falsa. En resumen, el phising es un conjunto de técnicas de ingeniería social utilizadas para engañar a los usuarios, y suele sacar partido de la mala usabilidad de las tecnologías de seguridad Web actuales.

Fotografía | www.flickr.com