Siempre que vea un pequeño candado en la barra de direcciones de su navegador de Internet, así como cuando usas aplicaciones, correo electrónico y mensajería, confía en algo llamado "seguridad de la capa de transporte" o TLS. Es un protocolo que nos mantiene seguros en línea.

Detrás de ese pequeño candado hay un código criptográfico que garantiza la seguridad de los datos que pasan entre usted y, por ejemplo, el sitio web que está viendo.

De hecho, TLS garantiza la seguridad en tres frentes:autenticación, cifrado e integridad. Autenticación, para que sus datos vayan donde usted cree que van; cifrado para que no vaya a ningún otro lado; e integridad, para que no sea manipulado en ruta.

"Es el protocolo de seguridad más popular en Internet, asegurar esencialmente todas las transacciones de comercio electrónico, "Eric Rescorla, director de tecnología de la empresa de tecnología estadounidense Mozilla, le dijo a Horizon por correo electrónico.

En las dos décadas previas a 2018, se realizaron cinco revisiones de TLS para seguir el ritmo de la sofisticación de los ataques en línea. Después, muchos expertos creían que la última encarnación, TLS1.2, era lo suficientemente seguro para el futuro previsible, hasta que llegaron investigadores como el Dr. Karthikeyan Bhargavan y sus colegas del Instituto Nacional Francés de Investigación en Ciencia y Tecnología Digitales (INRIA) en París.

Andamio

Como parte de un proyecto llamado CRYSP, los investigadores habían estado trabajando en formas de mejorar la seguridad de las aplicaciones de software. Generalmente, los desarrolladores de software confían en TLS como un constructor confía en un andamio; en otras palabras, dan por sentada su seguridad.

Para mejorar la seguridad a nivel de software, sin embargo, El Dr. Bhargavan y sus colegas tuvieron que verificar minuciosamente que las suposiciones subyacentes sobre TLS1.2, que no tenía fallas graves, estaban justificadas.

"En algún momento, nos dimos cuenta de que no lo eran, " él dijo.

Después de descubrir algunas líneas de código inestables, los investigadores trabajaron con Microsoft Research y asumieron el papel de piratas informáticos, realizar algunos ataques simulados al protocolo para probar el alcance de su vulnerabilidad. Los ataques revelaron que era posible ser un 'hombre en el medio' entre un usuario de Internet y un proveedor de servicios. como Google, y por lo tanto robar los datos de ese usuario.

"Tendría que ser una secuencia de acciones bastante compleja, "explicó el Dr. Bhargavan." Normalmente, la persona en el medio tendría que enviar mensajes extraños a cada actor para atraerlos a una parte defectuosa del código ".

"Si, como la persona en el medio, Tuve éxito Potencialmente podría robar los detalles de pago de alguien, ", continuó." O podría fingir ser Apple o Google, y descargar (insertar) malware a través de una actualización de software para obtener acceso a las computadoras de las personas ".

Amenaza seria

Tal hacker necesitaría una gran experiencia y poder computacional, el de una agencia gubernamental, por ejemplo, así como el acceso a parte de la infraestructura física cercana a los actores clave. Sin embargo, el Grupo de trabajo de ingeniería de Internet (IETF), una organización internacional que promueve los estándares de Internet, juzgó que la amenaza era lo suficientemente grave como para justificar una nueva versión del protocolo criptográfico.

El Dr. Bhargavan señala que estaba lejos de ser el único científico informático que impulsó la revisión. Hubo otros cuatro o cinco grupos de investigación que descubrieron problemas con el protocolo actual, empujándose unos a otros él dice, en una sana rivalidad.

Todavía, dice que su grupo descubrió algunas de las fallas más sorprendentes en TLS1.2, que él cree que pueden haber sido los 'últimos clavos en el ataúd' para el protocolo.

Su grupo también fue parte de una amplia colaboración dentro de la comunidad de Internet, supervisado por un grupo de trabajo del IETF, para construir el más seguro, y sucesor a prueba de intermediarios que es TLS 1.3, utilizando algoritmos y técnicas modernas. "El Dr. Bhargavan fue un actor clave en ese esfuerzo, ", dijo Rescorla, quien supervisó TLS en el IETF en el momento del trabajo.

TLS 1.3 se lanzó oficialmente en agosto de 2018. Desde entonces, ha sido implementado por los principales navegadores de Internet como Mozilla Firefox y Google Chrome.

Entonces, ¿cuánto más seguros están los usuarios de Internet como resultado?

Error humano

Es cierto que para la mayoría de las brechas de seguridad en línea, TLS no tiene la culpa. Generalmente, los datos personales caen en las manos equivocadas debido a errores en el software, en lo que el grupo del Dr. Bhargavan estaba trabajando para empezar, o errores humanos.

Pero el Dr. Bhargavan cree que es reconfortante saber que el protocolo subyacente es seguro. "No es todo, pero siempre que haga clic en ese candado, tendrá cierta confianza en la seguridad; es lo más básico, " él dijo.

Además, Los usuarios de Internet no solo están preocupados por los piratas informáticos. Desde el 2013, y las filtraciones de Edward Snowden, un ex empleado de un contratista de la Agencia de Seguridad Nacional de EE. UU., mucha gente está preocupada por la cantidad de datos personales acumulados por la inteligencia estatal y las grandes empresas.

Diseñado con las revelaciones de Snowden en mente, TLS 1.3 cierra la puerta a algunos tipos de este monitoreo omnipresente basado en la red a través de su encriptación tanto de los datos del usuario como de los metadatos. También evita el descifrado retrospectivo, una de las debilidades de la versión anterior.

Hubo una larga discusión en el grupo de trabajo de IETF sobre si prevenir la vigilancia era uno de los objetivos de TLS, dice el Dr. Bhargavan. "Y la respuesta fue, en última instancia, positiva, " él dijo.

Ahora, el Dr. Bhargavan vuelve al tema de la seguridad del software. Él cree que la mayoría de las vulnerabilidades restantes se pueden eliminar en la etapa de diseño.

Verificado

Para hacer esto, él y sus colegas están construyendo una biblioteca, HACL *, de código criptográfico completamente verificado, que otros desarrolladores pueden utilizar al crear software nuevo. En este proyecto, conocido como CIRCO, también están creando un paradigma de referencia fácil de seguir que les dice a los desarrolladores cómo armar el software sin introducir fallas de seguridad.

Los desarrolladores de Mozilla y Microsoft ya han adoptado el software de alta seguridad resultante. entre otros. "Queremos que todos sigan estas técnicas, "Dijo el Dr. Bhargavan.

Por último, su objetivo no es asegurar todo en línea, sino encontrar los lugares más seguros dentro de nuestros complejos sistemas informáticos. "No creo que lleguemos a un punto en el que todo esté verificado, " él dijo, "pero podemos encontrar la canasta más segura en la que podemos poner nuestras claves, contraseñas y datos financieros".