Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today

Read more
Zpedia / ¿Qué es el descifrado SSL?

¿Qué es el descifrado SSL?

El descifrado SSL es el proceso de descifrar el tráfico cifrado para verificarlo en busca de ciberamenazas como parte de un procedimiento completo de inspección SSL. Es una capacidad fundamental para la seguridad de la red en las organizaciones modernas, ya que la inmensa mayoría del tráfico web ahora está cifrado y algunos analistas de ciberseguridad estiman que más del 90 % de los programas maliciosos ahora se ocultan en canales cifrados.

Informe: Comprensión del estado de los ataques cifrados

¿Por qué es importante el descifrado SSL?

Con la creciente popularidad de las aplicaciones en la nube y SaaS, es más probable que un archivo o una cadena de datos atraviese Internet en algún momento. Si esos datos son confidenciales o sensibles, podrían ser un objetivo. Por lo tanto, el cifrado es esencial para proteger a las personas y los datos. Es por eso que la mayoría de los navegadores, sitios web y aplicaciones en la nube cifran los datos salientes en la actualidad y los intercambian mediante conexiones cifradas.

Por supuesto, funciona en ambos sentidos: si los datos confidenciales pueden usar cifrado para mantenerse ocultos, las amenazas también pueden hacerlo. Esto hace que un descifrado SSL eficaz sea igualmente esencial, ya que permite a una organización inspeccionar completamente el contenido del tráfico descifrado antes de bloquearlo o volver a cifrarlo para que pueda seguir su camino.

SSL o TLS

Es hora de una desambiguación. Secure Sockets Layer (SSL) y Transport Layer Security (TLS) son protocolos criptográficos que rigen el cifrado y la transmisión de datos entre dos puntos. Entonces, ¿cuál es la diferencia?

La ya desaparecida Netscape desarrolló SSL en la década de los noventa y lanzó SSL 3.0 a finales de 1996. TLS 1.0, basado en una versión mejorada de SSL 3.0, surgió en 1999. TLS 1.3, lanzado por Internet Engineering Task Force (IETF) en 2018, es la versión más reciente y segura hasta este preciso momento. Hoy en día, SSL ya no se desarrolla ni tiene soporte. Para 2015, IETF había declarado todas las versiones de SSL obsoletas debido a vulnerabilidades (por ejemplo, ataques de intermediarios) y a la falta de características de seguridad fundamentales.

A pesar de esto y de décadas de cambios, al margen de un sentido estrictamente técnico, la mayoría de los usuarios sigue utilizando el concepto de "SSL" como un término general para los protocolos de cifrado. En otras palabras, cuando vea SSL, TLS, SSL/TLS, HTTPS, etc., todos significan lo mismo la mayoría de las veces. A efectos de este artículo, aclararemos su uso según sea necesario.

Ventajas del descifrado SSL

La implementación del descifrado e inspección de SSL ayuda a las organizaciones actuales a mantener seguros a sus usuarios finales, clientes y datos, con la capacidad de:

  • Prevenir las violaciones de datos al encontrar malware oculto y evitar que los hackers atraviesen las defensas.
  • Ver y entender lo que los empleados están enviando fuera de la organización, de manera intencionada o accidental.
  • Cumplir con los requisitos de la normativa, garantizando que los empleados no pongan en riesgo datos confidenciales.
  • Contar con una estrategia de defensa de varios niveles que mantenga a toda la organización segura.

Entre enero y septiembre de 2021, Zscaler bloqueó 20 700 millones de amenazas a través de HTTPS. Esto representa un aumento de más del 314 % con respecto a los 6600 millones de amenazas bloqueadas en 2020, que a su vez supuso un aumento de casi el 260 % con respecto al año anterior.

ThreatLabz: el estado de los ataques cifrados, 2021

La necesidad de descifrado SSL

A pesar de un mayor uso del cifrado, muchas organizaciones siguen inspeccionando solo parte de su tráfico SSL/TLS, lo que permite que el tráfico de las redes de entrega de contenido (CDN) y ciertos sitios "de confianza" no se inspeccionen. Esto puede ser arriesgado porque:

  • Las páginas web pueden cambiar fácilmente. Algunas pueden recurrir a múltiples fuentes para mostrar cientos de objetos, cada uno de los cuales debe considerarse no confiable, independientemente de su origen.
  • Los autores de malware están utilizando cada vez más el cifrado para ocultar sus vulnerabilidades. Al haber más de 100 autoridades de certificación en todo el mundo, es fácil y barato obtener un certificado SSL válido.
  • La mayor parte del tráfico está cifrado. En cualquier momento, alrededor del 70 % del tráfico que procesa la nube Zscaler está cifrado, lo que acentúa la importancia de poder descifrar el tráfico SSL.

Así que, ¿por qué no lo hace todo el mundo? En pocas palabras, se necesita mucha actividad informática para descifrar, inspeccionar y volver a cifrar el tráfico SSL, y sin la tecnología adecuada, puede perjudicar el rendimiento de su red. La mayoría de las empresas no puede permitirse paralizar su actividad empresarial y los flujos de trabajo, por lo que no tienen más opción que omitir la inspección por parte de los dispositivos que no pueden estar a la altura de las demandas de procesamiento.

Cómo funciona el descifrado SSL

Hay varios modelos diferentes para el descifrado y la inspección de SSL. Veamos los más comunes y las consideraciones clave para cada uno.

Método de inspección SSL

1

  • Modo de punto de acceso del terminal (TAP)

    Un simple dispositivo de hardware copia todo el tráfico de red para su análisis sin conexión, incluida la inspección SSL.

  • Cortafuegos de próxima generación (NGFW)

    Las conexiones de red transmiten a través de un NGFW con visibilidad solo a nivel de paquete, lo que limita la detección de amenazas.

  • Proxy

    Se crean dos conexiones separadas entre el cliente y el servidor, con una inspección completa del flujo de la red y de la sesión.

2

  • Modo de punto de acceso del terminal (TAP)

    Se requiere un hardware costoso (por ejemplo, TAP de red 10G) para garantizar que todo el tráfico se copie a la velocidad de línea completa sin pérdida de datos.

  • Cortafuegos de próxima generación (NGFW)

    Los NGFW solo ven una fracción de malware, lo que permite que se entregue en partes. Necesitan una funcionalidad de proxy vinculada y tienden a tener un rendimiento inferior cuando se habilitan características clave como la prevención de amenazas.

  • Proxy

    Todos los objetos se pueden volver a ensamblar y analizar, lo que permite el análisis mediante motores de detección de amenazas adicionales, como sandbox y DLP.

3

  • Modo de punto de acceso del terminal (TAP)

    La inspección retrospectiva de SSL ya no funciona debido al "secreto directo perfecto", que requiere nuevas claves para cada sesión de SSL.

  • Cortafuegos de próxima generación (NGFW)

    El rendimiento disminuye notablemente debido al aumento de los requisitos de rendimiento y escala de los cifrados TLS 1.3, que requieren una actualización de hardware para superarse.

  • Proxy

    En el caso de un proxy en la nube suministrado como servicio, no es necesario actualizar los dispositivos por parte del cliente para satisfacer las necesidades de rendimiento y escala de TLS 1.3.

Mejores prácticas de descifrado SSL

La necesidad de implementar una función de descifrado e inspección de SSL para proteger a su organización se ha vuelto demasiado grande como para ignorarla. Aun así, hay cosas importantes a tener en cuenta (algunas más técnicas que otras) al implementar la inspección SSL:

  • Comience con una ubicación pequeña o un laboratorio de pruebas para asegurarse de que su equipo comprende esta función y de que funciona según lo previsto, antes de habilitarla de manera más generalizada.
  • Para reducir la resolución de problemas, considere actualizar sus notificaciones de usuario final para informar a los usuarios la nueva política de inspección SSL.
  • (Opcional) Al definir la política de inspección SSL, cree un listado de URL y categorías de URL, así como de aplicaciones en la nube y categorías de aplicaciones en la nube para las que no se descifrarán las transacciones SSL.
  • Al principio, permita solo la inspección de categorías de riesgo: contenido para adultos y apuestas, por ejemplo, o aquellas que representan riesgos de privacidad o responsabilidad. A continuación, cuando esté listo, active la inspección de todas las categorías de URL, excepto las relacionadas con las finanzas y la salud, para disipar las preocupaciones sobre la privacidad.
  • Tome nota de las aplicaciones que utiliza su organización que aprovechan el anclado de certificados, donde la aplicación solo aceptará un certificado de cliente específico. Es posible que estas aplicaciones no funcionen con la inspección SSL, por lo que tendrá que incluirlas en el listado de lo que no se debe descifrar.
  • Habilite la autenticación de usuario para permitir que su servicio de inspección SSL tenga en cuenta las políticas de usuario.

¿Qué consecuencias tiene la inspección SSL con respecto a la privacidad?

El descifrado y la inspección SSL pueden mejorar drásticamente su seguridad, pero es posible que no sea tan sencillo como descifrarlo todo. En función de su sector, región y de las leyes y regulaciones a las que esté sujeto, es posible que tenga que procesar cierto tráfico que no deba descifrar, como datos médicos o financieros. En este caso, tendrá que configurar filtros y políticas para mantener este tipo de conexiones privadas.

Al margen de preocupaciones legales y reglamentarias, su organización generalmente debe inspeccionar tanto tráfico SSL como sea posible para reducir el riesgo y mantener a sus usuarios y datos seguros.

Zscaler y el descifrado SSL

La plataforma Zscaler Zero Trust Exchange™ permite una inspección SSL completa a escala sin limitaciones de latencia o capacidad. Al combinar la inspección SSL con nuestra completa pila de seguridad como servicio en la nube, obtendrá una protección superior sin verse limitado por los dispositivos.

Capacidad ilimitada

Inspeccione todo el tráfico SSL de sus usuarios, dentro o fuera de la red, con un servicio que se adapta de manera dinámica para satisfacer sus demandas de tráfico.

Administración más racional

Deje de administrar certificados individualmente en todas las puertas de enlace. Los certificados subidos a la nube de Zscaler están inmediatamente disponibles en más de 150 centros de datos de Zscaler en todo el mundo.

Control granular de políticas

Garantice el cumplimiento con la flexibilidad para excluir el tráfico cifrado de los usuarios en las categorías de sitios web confidenciales, como el sector de salud o bancario.

Seguridad y protección

Manténgase protegido gracias a la compatibilidad con las últimas suites de cifrado AES/GCM y DHE para una confidencialidad perfecta para el futuro. Los datos de usuario nunca se almacenan en la nube.

Administración simplificada de certificados

Utilice nuestros certificados o los suyos. Utilice nuestra API para rotar fácilmente sus certificados con la frecuencia que necesite.

¿Está preparado para saber más sobre cómo puede inspeccionar el tráfico cifrado sin limitaciones ni costosos aparatos? Vea cómo puede ayudarlo Zscaler SSL Inspection.

Otros recursos sugeridos

  • Descubra qué se esconde en su tráfico cifrado

    Lea el informe

  • Investigación de ThreatLabZ: estado de los ataques cifrados en 2021

    Lea el informe

  • La política de la inspección TLS/SSL

    Leer el blog