Sobre el Valor Real de los Certificados Digitales

Un certificado digital es un documento electrónico que permite a una entidad identificarse en Internet. Es usual que un servidor web construya comunicaciones seguras con sus clientes con base en la información registrada en su certificado. Probablemente el ejemplo más común es https, el protocolo que usan un servidor web y un navegador para comunicarse de forma segura. El mismo que usan los servidores web de los bancos para comunicarse con los navegadores de sus clientes. Este protocolo se implementa con base en la información registrada en el certificado digital asociado al servidor web.

Aunque un certificado digital juega un papel fundamental para que una compañía ofrezca garantías de seguridad a sus clientes, este no es suficiente. Con frecuencia me encuentro en la misma discusión, con personas que trabajan en el área de seguridad informática, acerca del valor real de los certificados digitales. Un certificado digital no garantiza la seguridad de un servidor o un proveedor en internet. No garantiza confidencialidad, integridad o disponibilidad, conceptos fundamentales al hablar de seguridad de la información.

Primero, porque la validez de un certificado depende de los procedimientos que maneje la entidad que lo emite. No es lo mismo un certificado emitido por una entidad con procedimientos diseñados cuidadosamente y gente capacitada, que el emitido por una entidad sin procedimientos o sin gente con el conocimiento requerido. Eso sin considerar que una misma entidad puede emitir diferentes tipos de certificados, generados con diferentes procedimientos en cada caso.

Segundo, un certificado establece una asociación entre un nombre y una llave pública de cifrado. Con base en dicha llave, dos entidades pueden acordar los algoritmos que usarán para garantizar la confidencialidad e integridad de la información que intercambian. Sin embargo, el que una entidad cuente con un certificado digital no garantiza que efectivamente use algoritmos de cifrado o que tome medidas para garantizar la seguridad de la información después de almacenada en sus servidores. Una compañía que adelanta operaciones vía internet, por ejemplo, puede tener un certificado y aun así manejar las comunicaciones con sus clientes en texto plano, es decir, sin usar algoritmos de cifrado.

Tercero, un certificado puede usarse para autenticar al titular del mismo porque es una evidencia de su identidad. Sin embargo, la autenticación solo es posible si los procesos de la entidad emisora requieren la verificación de la identidad del sujeto que solicita un certificado. El problema es que las entidades emisoras no siempre cumplen con este requerimiento. Algunas entidades emisoras, por ejemplo, permiten solicitar un certificado digital por medio de una interfaz web, en la que el solicitante diligencia sus datos y por medio de una caja de chequeo asegura que la información es veraz. Usando estas interfaces es posible solicitar un certificado para una compañía ficticia o suplantar una compañía real.

Es más, una compañía ficticia puede contar con un certificado digital y construir una arquitectura de seguridad que garantiza la confidencialidad e integridad de los datos que un usuario envía por internet. Las comunicaciones están protegidas de otros pero la compañía ficticia recibe los datos y tiene las llaves para descifrarlos y manipularlos a su antojo.

En resumen, el certificado digital es una herramienta fundamental para la construcción de la arquitectura de seguridad de una entidad, pero el que una entidad cuente con un certificado digital no garantiza que tiene una arquitectura de seguridad, o que esta arquitectura de seguridad es efectiva. Estas garantías dependen de otros factores.

Sobre el autor
Sandra Rueda Rodríguez Sandra Rueda Rodríguez (2 Entrada(s))


Profesora Asistente Universidad de los Andes.

AVISO LEGAL: Los artículos aquí registrados expresan la opinión de sus autores y colaboradores. Este sitio no representa necesariamente la opinión del DEPARTAMENTO DE INGENIERIA DE SISTEMAS Y COMPUTACION ni de la UNIVERSIDAD DE LOS ANDES.


Tweet about this on TwitterShare on Facebook0Share on Google+0Email this to someonePin on Pinterest0

Comentarios

Sobre el Valor Real de los Certificados Digitales — 2 comentarios

  1. Aprecio la claridad y contundencia del articulo, considero que en la medida que los temas asociados a tecnología tengan un escenario de publicación y discusión se fomenta una cultura tecnologica que propende por el conocimiento y conciencia del alcance de los mismos y su impacto.
    Muy bien !

  2. Acá en Colombia, quien efectua ese proceso es Certicámara o Verisign, los cuales hacen una previa validación física de los datos enviados por la entidad que desea obtener un certificado digital. El certificado digital lo único que garantiza es no repudio de la información.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 caracteres disponibles