Todas las aplicaciones, sean web, móviles, de escritorio o standalone siempre deben contar con esquemas y mecanismos de seguridad y deben garantizar los principios de seguridad básicos: INTEGRIDAD, CONFIDENCIALIDAD y DISPONIBILIDAD (en ocasiones se incluye NO REPUDIO). Bajo éstas premisas, los certificados digitales son una solución de seguridad informática dado que son documentos electrónicos que validan la identidad de una Persona, Empresa o Programa y la asocia a una "llave pública".

 

Los Certificados Digitales permiten realizar lo siguiente en una aplicación:

1) A nivel de usuario: ofrece un mecanismo de autenticación fuerte del usuario en una aplicación, al validar su llave pública frente a una llave privada, generadas ambas (el par de llaves) por una autoridad de certificación. Si la aplicación valida el certificado, el usuario podrá ingresar a la aplicación.

2) A una Entidad: puesto que permite identificar a una Empresa en una operación o transacción con otra y de esta manera asegurar su autenticidad y confiabilidad de intercambio de información entre ellas.

3) A un sitio o página web: es el más común. Es visto cuando abrimos una página web en un navegador y en la barra de dirección observamos en lugar del protocolo http, el https (hypertext transfer protocol secure). Con éste, el sitio web presenta una "credencial" de que es el sitio oficial o auténtico de una Entidad. Es comúnmente usado en todos los sitios web o sucursales virtuales bancarios. También en sitios web que requiere compartir información sobre protocolos de intercambio seguros.

 

Observando éstas 3 situaciones, podemos inferir que son notables los beneficios que traen el uso y aprovechamiento de certificados digitales en nuestras aplicaciones y plataformas tecnológicas.

 

 ¿CÓMO COMPROBAMOS LA "VALIDEZ" DE UN CERTIFICADO DIGITAL?

 

Existen 3 condiciones para comprobar la validez de un certificado digital. Se valida un certificado digital para que sea aceptado por servidores y navegadores en las listas de certificados válidos y reconocidos comercial y mundialmente (IE, Firefox, Safari, Chrome, entre otros).

Si no se cumplen algunas de las condiciones, los sistemas, navegadores, librerías de programación van a generar alertas ("warning") o advertencias de seguridad derivados de la originalidad o validez del certificado y esto puede ser aprovechado por delincuentes informáticos.

 

1. Nombre común (CN: Common Name): deberá coincidir con la dirección URL que el usuario digita en el navegador, para el caso de la autenticidad del sitio.

Cuando ustedes ingresan al sitio web de un banco, el cual aparentemente es el oficial, no debe generarse ningún tipo de mensaje que indique: "Certificado de Seguridad inválido". En caso de que el browser arroje un mensaje de advertencia, la recomendación es no continuar el acceso a dicho sitio web y mucho menos ingresar registro de acceso (Login).

2. El certificado digital debe estar firmado por una AC (Autoridad de Certificación o CA, en inglés) válida: en el mundo existen diversas Autoridades o Entidades Emisoras de Certificados Digitales, por ejemplo: Verisign, Apple Root CA, Common Policy, DigiCert, Entrust, GeoTrust, Thawte, GlobalSign, RSA, Symantec, entre muchas otras. Para validar si un certificado digital es reconocido y fué emitido por una AC válida, basta con buscar en la opción de configuración o preferencias del navegador (Google Chrome, MS Internet Explorer, Mozilla Firefox, Safari).

3. El periodo de validez del certificado: al abrir un certificado digital, un dato importante es la fecha de vigencia del mismo, razón por la cual, si el certificado ha expirado no va a cumplir su función aseguradora. Por lo general un certificado digital tiene un tiempo de vigencia que va desde un (1) año en adelante.

 

USOS DE LOS CERTIFICADOS DIGITALES

 

Sus usos, aunque pasan inadvertidos por los usuarios, se encuentran en procesos tan comunes como:

 

  • Transacciones financieras (electrónicas)
  • Compras y pagos en línea
  • Páginas seguras de sitios web como Bancos y Entidades del Gobierno
  • Intercambio de archivos en las plataformas de nube pública
  • Pago de impuestos e identificación de identidad electrónica

 

Al final, me gustaría dejar éste mensaje: la seguridad de nuestra información, de nuestros activos informáticos o en nuestra plataforma tecnológica empieza por el cuidado y juicio de cada uno de nosotros mismos, pueden diseñarse e implementarse los mecanismos de seguridad más sofisticados, sin embargo, todo depende de la rigurosidad y el conocimiento de la criticidad del evento al que estamos expuestos y de la constante necesidad de estar informados y alerta ante los mismos.

La cadena se rompe siempre, por el eslabón más débil.

 

Fuente: - http://sbt.smartbettracker.com/help

            - www.altonivel.com.mx

            - http://www.oasistecno.com/

 

Por: Iván Darío Niño Alfonso, Gerente de Proyectos Ikonoflex