¿Cómo saber si su sitio web es seguro?

Visitamos todos los días sitios web. Las páginas con información delicada deben tener un mecanismo de seguridad llamado SSL. Podemos identificar que este mecanismo de seguridad está habilitado cuando observamos en nuestro navegador que el sitio inicia con “https”. Esa “s” significa que la comunicación entre el sitio y nuestro navegador va cifrada, es decir, protegida. También se enciende un candado en el navegador: otra señal de SSL.

Proteger la transferencia de datos entre un navegador y un sitio es en varias ocasiones necesario, en otras es altamente deseable. Yo espero que al realizar banca en línea toda la comunicación esté protegida. También cuando envío a un sitio mi número de tarjeta de crédito para pagar un bien. En otras situaciones como entrar a una red social o a al correo, es altamente deseable que exista este tipo de seguridad. No me agradaría que alguien comprometiera mi cuenta.

La protección que provee SSL al cifrar lo que recibimos y enviamos al sitio está estrechamente relacionada a la cantidad de bits de la llave pública que usa. Cuando nuestro navegador invoca SSL, la fortaleza del cifrado no sólo la dicta el algoritmo usado, sino el tamaño de la llave empleada.

La mayoría de las páginas web establece hoy en día una comunicación con los navegadores usando una llave de 1024 bits. Por años, se pensó que ese tamaño era suficiente para soportar ataques de intrusos deseosos de ver el tráfico de red protegido. Ya no lo es.

El Dr. Eran Tromer hizo un estudio donde concluye que es posible construir un sistema que rompa la seguridad de un mensaje protegido con una llave de 1024 bits. El costo de este sistema es de alrededor de un millón de dólares. Tarda un año en romper dicha llave.

Podemos pensar que un año es mucho tiempo. El truco está en construir y usar varios de estos sistemas en paralelo para reducir el tiempo considerablemente.

Es de suponer que las agencias gubernamentales con suficiente presupuesto tienen la capacidad técnica para construir estos sistemas que rompen la seguridad de una comunicación protegida con 1024 bits. Esto significa que 1024 nos ayudará tal vez a estar a salvo de criminales comunes y corrientes y de curiosos amateur.

Como usuarios, debemos estar al tanto de que cuando realmente nos interese transmitir información delicada, la llave no debería de ser sólo de 1024 bits. Y como administradores de servidores web o responsables de infraestructura, es tiempo de migrar a llaves de 2048 bits.

Como responsable de un sitio web, aumentar la seguridad de esta llave no es demasiado complicado. Basta solicitar a nuestro proveedor un nuevo certificado digital SSL con una llave de 2048 bits. Con este certificado digital (que en sí es un pequeño archivo) basta “subirlo” al sitio web y listo. Los navegadores modernos no tienen ningún problema en manejar llaves de 1024 bits.

En el pasado, algunos argumentaron que una protección de 2048 bits “hace lenta” la comunicación entre servidor y navegador. Hace muchos años tal vez había algo de verdad que el proceso para establecer SSL con 2048 era lento (recuerda que una vez establecido el canal seguro, SSL usa otro tipo de llaves llamadas simétricas que hace que la comunicación siga siendo segura pero rápida). Sin embargo hoy día los anchos de banda de los usuarios se incrementaron ya lo suficiente como para que no exista tardanza perceptible para una seguridad con 2048 bits.

Por cierto, aumentar el tamaño de las llaves de 1024 a 2048 no hace que un atacante únicamente tenga el doble de dificultad para romper su seguridad. La fortaleza sube exponencialmente, y el trabajo para romperla también. Por lo tanto, un pequeño cambio hará una gran diferencia en la seguridad de nuestro sitio.