Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today

Read more
Zpedia / ¿Qué es la inspección SSL?

¿Qué es la inspección SSL?

La inspección SSL es el proceso de interceptar y revisar la comunicación de Internet cifrada mediante el SSL entre el cliente y el servidor. La inspección del tráfico SSL ha adquirido una importancia fundamental, ya que la gran mayoría del tráfico de Internet está cifrado con SSL, incluido el contenido malicioso.

Conozca las preocupaciones sobre la inspección de SSL

¿Por qué es importante la inspección SSL?

Con el uso extendido de las aplicaciones SaaS y la vigencia de la nube, cada vez hay más datos que atraviesan Internet con una frecuencia cada vez superior, lo cual aumenta la exposición al riesgo. Por consiguiente, el cifrado es una parte esencial para mantener seguros los datos privados y confidenciales. Por esta razón la mayoría de los navegadores, servidores web y aplicaciones en la nube actualmente cifran los datos salientes e intercambian esos datos a través de conexiones HTTPS.

Lamentablemente, funciona en ambos sentidos: Si los datos confidenciales pueden ocultarse en el tráfico HTTPS, también pueden hacerlo las amenazas. Esto hace que un descifrado SSL eficaz sea igualmente esencial, ya que permite a una organización inspeccionar completamente el contenido del tráfico descifrado antes de bloquearlo o volver a cifrarlo para que pueda seguir su camino.

Entre octubre de 2022 y septiembre de 2023, la nube de Zscaler bloqueó 29.8 mil millones de ataques ocultos en tráfico cifrado (SSL/TLS). Esto supone un aumento del 24.3 % con respecto a 2022, que a su vez fue un 20 % mayor que el año anterior.

zscaler threatLabz

Comparación entre SSL y TLS

Es el momento de una desambiguación. Secure Sockets Layer (SSL) y Transport Layer Security (TLS) son protocolos criptográficos que rigen el cifrado y la transmisión de datos entre dos puntos. Entonces, ¿cuál es la diferencia?

La ya desaparecida Netscape desarrolló SSL a mediados de la década de los noventa y lanzó SSL 3.0 a finales de 1996. TLS 1.0, basado en una versión mejorada de SSL 3.0, surgió en 1999. TLS 1.3, lanzado por Internet Engineering Task Force (IETF) en 2018, es la versión más reciente y segura a la fecha de publicación de este artículo. Hoy en día, SSL ya no se desarrolla ni tiene soporte. Para 2015, IETF había declarado todas las versiones de SSL obsoletas debido a vulnerabilidades (por ejemplo, ataques de intermediarios) y a la falta de características de seguridad fundamentales.

A pesar de esta situación y de décadas de cambios, al margen de un sentido estrictamente técnico, la mayoría de los usuarios sigue utilizando el concepto de "SSL" como un término general para los protocolos de cifrado. En otras palabras, cuando vea SSL, TLS, SSL/TLS, HTTPS, etc., todos significan lo mismo la mayoría de las veces. A efectos de este artículo, aclararemos su uso según sea necesario.

Ventajas de la inspección SSL

La implementación de la inspección SSL ayuda a las organizaciones actuales a mantener seguros a sus usuarios finales, clientes y datos, con la capacidad de:

  • Evitar las brechas de datos al encontrar malware oculto e imposibilitar que los piratas informáticos vulneren las defensas.
  • Ver y conocer lo que los empleados están enviando fuera de la organización, de forma intencionada o accidental.
  • Cumplir con los requisitos de la normativa, garantizando que los empleados no pongan en riesgo datos confidenciales.
  • Apoyar una estrategia de defensa de varios niveles que mantenga a toda la organización segura.

La necesidad de la inspección SSL

La inspección SSL es una capacidad fundamental de seguridad de red para las organizaciones modernas, ya que la inmensa mayoría del tráfico web ahora está cifrado y algunos analistas de ciberseguridad estiman que más del 90 % de los programas maliciosos ahora se ocultan en canales cifrados.

A pesar de este aumento en el uso del cifrado, muchas organizaciones siguen realizando inspecciones SSL/TLS solamente en parte de su tráfico y, al mismo tiempo, permiten que el tráfico de ciertas fuentes "confiables" pase sin ser inspeccionado. Debido a que Internet puede cambiar muy fácilmente, esta situación puede ser arriesgada. Los sitios web, por ejemplo, se distribuyen dinámicamente y pueden recurrir a múltiples fuentes para mostrar cientos de objetivos, cada uno de los cuales puede representar una amenaza.

Mientras tanto, los creadores de malware están utilizando cada vez más el cifrado para ocultar sus ataques. Al haber más de 100 autoridades de certificación en todo el mundo, es fácil y barato obtener un certificado SSL válido. En un momento dado, alrededor del 70 % del tráfico que procesa la Zscaler Cloud está cifrado, lo que acentúa la importancia de poder inspeccionar el tráfico SSL.

Así que, ¿por qué no lo hace todo el mundo? Es bastante simple: el descifrado, la inspección y el recifrado del tráfico SSL requieren mucha actividad informática y, sin la tecnología adecuada, el proceso puede tener un impacto devastador en el rendimiento de su red. La mayoría de las empresas no pueden permitirse paralizar su actividad empresarial y los flujos de trabajo, por lo que no tienen más opción que omitir la inspección por parte de los dispositivos que no pueden estar a la altura de las demandas de procesamiento.

El cifrado y el panorama moderno de las amenazas

Con la creciente preocupación por la privacidad de los datos en los últimos años, ha habido una fuerte tendencia hacia el cifrado en forma predeterminada. Esto es excelente para la privacidad, pero los requisitos técnicos, y en muchos casos, el precio del hardware necesario, son demasiado para muchas organizaciones. Como resultado, estas organizaciones no están equipadas para inspeccionar el tráfico cifrado a escala.

Los creadores de las amenazas lo saben y por ello las amenazas basadas en SSL están en aumento. Aunque los hackers han encontrado muchas maneras de infiltrarse en los sistemas y robar datos, romper el cifrado sigue siendo difícil y requiere mucho tiempo y, por lo tanto, es un método poco eficiente. En su lugar, han comenzado a usar el cifrado ellos mismos para introducir contenido malicioso, ocultar malware y llevar a cabo ataques sin detección.

Durante años, el símbolo de un candado junto a la dirección URL de un sitio web indicaba que el sitio era seguro, pero ya no es garantía de seguridad. No se debe confiar en el tráfico que se mueve por los canales cifrados simplemente porque tenga un certificado digital. Antes se veía como la protección definitiva para los datos que se transmiten a través de Internet, pero ahora SSL se ha convertido en el terreno de juego perfecto para que los ciberdelincuentes cometan delitos.

En junio de 2020, el 96 por ciento de las páginas de Google Chrome en los EE. UU. se cargaron mediante cifrado (HTTPS).

Informe de transparencia de Google

Cómo funciona la inspección SSL

Hay varios métodos diferentes para realizar el descifrado y la inspección de SSL. Veamos los más comunes y las consideraciones clave para cada uno.

Método de inspección SSL

Cómo funciona

  • Cortafuegos de próxima generación (NGFW)

    Las conexiones de red transmiten a través de un NGFW con visibilidad solo a nivel de paquete, lo que limita la detección de amenazas.

  • Proxy

    Se crean dos conexiones separadas entre el cliente y el servidor, con una inspección completa del flujo de la red y de la sesión.

Impacto de la inspección SSL

  • Cortafuegos de próxima generación (NGFW)

    Los NGFW solo ven una fracción de malware, lo que permite que se entregue en partes. Necesitan una funcionalidad de proxy vinculada y tienden a tener un rendimiento inferior cuando se habilitan características clave como la prevención de amenazas.

  • Proxy

    Todos los objetos se pueden volver a ensamblar y analizar, lo que permite el análisis mediante motores de detección de amenazas adicionales, como sandbox y DLP.

Impacto en estos métodos una vez que se utiliza TLS 1.3

  • Cortafuegos de próxima generación (NGFW)

    El rendimiento disminuye notablemente debido al aumento de los requisitos de rendimiento y escala de los cifrados TLS 1.3, que requieren una actualización de hardware para superarse.

  • Proxy

    En el caso de un proxy en la nube suministrado como servicio, no es necesario actualizar los dispositivos por parte del cliente para satisfacer las necesidades de rendimiento y escala de TLS 1.3.

Si desea una explicación más específica, podemos proporcionar más detalles sobre cómo funciona en la plataforma Zscaler. Cuando habilita la inspección SSL con Zscaler, el proceso funciona de este modo:

  1. Un usuario abre un navegador y envía una solicitud HTTPS.

  2. El servicio Zscaler intercepta la solicitud HTTPS. A través de un túnel SSL separado, el servicio envía su propia solicitud HTTPS al servidor de destino y realiza las negociaciones SSL.

  3. El servidor de destino envía al servicio Zscaler su certificado con su clave pública.

  4. El servicio Zscaler y el servidor de destino completan el protocolo de enlace SSL. Los datos de la aplicación y los mensajes posteriores se envían a través del túnel SSL.

  5. El servicio Zscaler lleva a cabo negociaciones SSL con el navegador del usuario. Envía al navegador el certificado intermedio de Zscaler o la raíz intermedia personalizada de su organización, así como un certificado de servidor firmado por la autoridad de certificación intermedia de Zscaler. El navegador valida la cadena de certificados en el almacén de certificados del navegador.

  6. El servicio Zscaler y el navegador completan el protocolo de enlace SSL. Los datos de la aplicación y los mensajes posteriores se envían a través del túnel SSL.

Zscaler e inspección SSL

La plataforma Zscaler Zero Trust Exchange™ permite una inspección SSL completa y a escala sin limitaciones de latencia o capacidad. Al combinar la inspección SSL con nuestra completa pila de seguridad como servicio en la nube, obtendrá una protección superior sin verse limitado por los dispositivos.

Capacidad ilimitada

Inspeccione el tráfico SSL de todos sus usuarios, dentro o fuera de la red, con un servicio que se escala de forma dinámica para satisfacer sus demandas de tráfico.

Administración más eficiente

Deje de administrar certificados individualmente en todas las puertas de enlace. Los certificados subidos a la nube de Zscaler están automáticamente disponibles en más de 150 centros de datos de Zscaler en todo el mundo.

Control granular de políticas

Garantice el cumplimiento con la flexibilidad necesaria para excluir el tráfico cifrado de usuarios para categorías de sitios web confidenciales, como la salud o los bancos.

Seguridad y protección

Manténgase protegido con el apoyo de las ediciones más recientes de cifrado AES/GCM y DHE para lograr la total privacidad en el reenvío. Los datos de usuario nunca se almacenan en la nube.

Adminitración simplificada de certificados

Utilice nuestros certificados o use los suyos. Utilice nuestra API para rotar fácilmente sus certificados con la frecuencia que necesite.

¿Está preparado para saber más sobre cómo puede inspeccionar el tráfico cifrado sin limitaciones ni costosos dispositivos? Vea cómo Zscaler SSL Inspection puede ayudar.

Otros recursos sugeridos