INFORMTICA VIII

PROFESORA:
DELIA CAMACHO
ALUMNOS:
FELIPE SEBASTIN BENTEZ
JUAN BENTEZ
MICAELA BAEZ
DARIO CANDIA

NDICE
INTRODUCCIN 3

PROTOCOLOS 4
HTTP 5
LOS PROBLEMAS DE HTTP.. 5
SSL/TLS 7
HTTPS 9
FUNCIONAMIENTO SSL/TLS EN HTTPS 10
SSL/TLS CON HTTPS... 12
PROTECCIN CON HTTPS........................................................... 15
ERRORES COMUNES AL UTILIZAR EL PROTOCOLO HTTPS/TLS

16

GLOSARIO 17
CONCLUSIN.

19

WEBGRAFIA

20

BIBLIOGRAFA

20

ANEXO..

21

INTRODUCCIN
En los ltimos tiempos se ha dado que la utilizacin de la web ha pasado de ser una
novedad a convertirse en algo habitual en nuestro da a da, tal es as que encuestas
realizadas por la Unin Internacional de telecomunicaciones en el 2013 muestra que en las
amricas el 61% de la poblacin utiliza Internet, llegando ste porcentaje al 75% de la
poblacin en Europa.
Pero antes de ser as esta tecnologa tuvo que solucionar varios inconvenientes que se
presentaban en principio, como la accesibilidad, la compatibilidad, la seguridad, entre
otros. En ste aspecto en el presente trabajo se hablar sobre la seguridad, y siendo ms
especficos sobre protocolos web seguros.
Lo que abarca el presente tema se refiere a la seguridad de la conexin cliente/servidor,
uno de los factores a tener en cuenta ya que es en sta instancia de la web en donde el
usuario enva datos como datos de Tarjetas de crdito, nmero de documento de identidad
entre muchos otros.
Se espera que se pueda dar a entender de forma conceptual el funcionamiento de algunos
de los protocolos que utilizamos a diario y principalmente el grado de seguridad que stos
presentan.

PROTOCOLOS

En informtica, un protocolo es un conjunto de reglas usadas por computadoras unas con

otras a travs de una red. Es una regla o estndar que controla o permite la conexin,
comunicacin y transferencia de datos entre dos puntos finales.
Tambin se define como un conjunto de normas que permite la comunicacin entre
ordenadores, estableciendo la forma de identificacin de estos en la red, la forma de
transmisin de los datos y la forma en que la informacin debe procesarse. Los protocolos
pueden estar implementados mediante hardware, software o una combinacin de ambos.
En el campo de las redes informticas, los protocolos se pueden dividir en varias
categoras. Una de las clasificaciones ms estudiadas es la del modelo OSI (Open System
Interconnection, interconexin de sistemas abiertos).
Algunos protocolos utilizados en la web son:

Internet Protocol (IP)

Gateway-to-Gateway Protocol (GGP)
Transmission Control Protocol (TCP)
Exterior Gateway Protocol (EGP)
Interior Gateway Protocol (IGP)
User Datagram Protocol (UDP)
Dynamic Host Configuration Protocol (DHCP)
HiperText Transfer Protocol (HTTP)
Secure Sockets Layer (SSL)

HTTP
HTTP (HyperText Transfer Protocol) es un protocolo de transferencia de hipertexto que se
utiliza en la Web. Desarrollado por las instituciones internacionales W3C y IETF y se usa
4

en todo tipo de transacciones a travs de Internet.

El HTTP facilita la definicin de la sintaxis y semntica que utilizan los distintos softwares
web - tanto clientes, como servidores y proxis - para interactuar entre s.
Este protocolo opera por peticin y respuesta entre el cliente y el servidor. A menudo las
peticiones tienen que ver con archivos, ejecucin de un programa, consulta a una base de
datos, traduccin y otras funcionalidades. Toda la informacin que opera en la Web
mediante este protocolo es identificada mediante el URL o direccin.
Desde su creacin, el HTTP evolucion en diversas versiones. Entre ellas, la 0.9, la 1.0, la
1.1 y la 1.2.
El protocolo de este tipo opera con cdigos de respuesta de tres dgitos, que comunican si
conexin fue rechazada, si se realiz con xito, si ha sido redirigida hacia otro URL, si
existe un error por parte del cliente, o bien, por parte del servidor.
Las aplicaciones y navegadores web tienden a complementar la accin del HTTP como
ocurre, por ejemplo, con las denominadas "cookies", que permiten almacenar informacin
de la sesin, funcin de la que no dispone este protocolo, ya que opera sin estado.

LOS PROBLEMAS DE HTTP

A pesar de los anticipados proyectos de mercado, el comercio electrnico no fue un xito
inmediato. Inicialmente, esto fue debido a que el pblico no estaba familiarizado con
internet, pero con el tiempo se hizo claro que antes de que el comercio en lnea pudiera
tener xito, las comunicaciones basadas en la web deban ser seguras. Sencillamente los
usuarios se mostraban reticentes a enviar los datos de sus tarjetas de crdito por internet,
con razn.
Por defecto, las comunicaciones basadas en la web tenan varias debilidades:

HTTP no ofrece mecanismos de encriptacin y, por tanto, terceras personas pueden

husmear en el trfico entre los clientes y el servidor. De modo, la sesin del usuario

tiene poca o ninguna privacidad.

HTTP es un protocolo sin estado: no almacena informacin sobre los usuarios y,

por tanto, no puede verificar la identidad de un usuario.

HTTP no proporciona ningn medio de autenticar una sesin en curso. Por
consiguiente, no puede determinar si una tercera persona no fiable ha secuestrado la
sesin actual.

Para hacer frente a estas deficiencias, Netscape Communication desarroll el protocolo de

enchufes seguros (Secure Socket Layer Protocol) o SSL.

SSL/TLS
SSL Definicin, Secure Sockets Layer (capa de puertos seguros) es un protocolo diseado
para permitir que las aplicaciones para transmitir informacin de ida y de manera segura
6

hacia atrs. Las aplicaciones que utilizan el protocolo Secure Sockets Layer s saben cmo
dar y recibir claves de cifrado con otras aplicaciones, as como la manera de cifrar y
descifrar los datos enviados entre los dos.
Con estos mecanismos SSL hace frente a los tres problemas inherentes de la comunicacin
en la web:

En el momento de la conexin, el cliente y el servidor definen e intercambian una

clave secreta, que se utiliza para codificar los datos en trnsito. Por consiguiente,

aunque pueda rastrearse, el trfico en SSL est encriptado y es difcil de descifrar.

SSL soporta criptografa de clave pblica, as que el servidor puede autentificar a
los usuarios utilizando esquemas populares como RSA y el Estandar de firma
digital(Digital Signature Estndar, DSS)

El Servidor puede verificar la integridad de sesiones en curso utilizando algoritmos de

resumen de mensajes, como MD5 y SHA. De este modo, SSL puede proteger contra
secuestros de una sesin por parte de terceras personas.
El protocolo SSL fue diseado con el objeto de proveer privacidad y confiabilidad a la
comunicacin entre dos aplicaciones. Este se compone de dos capas:

SSL Record Protocol. Est ubicada sobre algn protocolo de transporte confiable
(como por ejemplo TCP) y es usado para encapsular varios tipos de protocolos de

mayor nivel.
SSL Handshake Protocol. Es uno de los posibles protocolos que pueden
encapsularse sobre la capa anterior y permite al cliente y al servidor autenticarse
mutuamente, negociar un algoritmo de cifrado e intercambiar llaves de acceso.

Una de las ventajas del SSL es que es independiente del protocolo de aplicacin, ya que es
posible ubicarlo por encima del mismo en forma transparente.
Para intentar corregir las deficiencias observadas en SSL v3 se busc un nuevo protocolo
que permitiera transacciones seguras por Internet, sobre todo teniendo en cuenta que SSL
es propiedad de la empresa Nestcape. El resultado de esta bsqueda fu el protocolo TLS,
que permite una compatibilidad total con SSL siendo un protocolo pblico, estandarizado
por el IETF(Internet Engineering task forc/Grupo de trabajo de ingeniera de Internet).
Permitiendo al usuario confiar informacin personal a sitios web, ya que tus datos se
ocultan a travs de mtodos criptogrficos mientras navegas en sitios seguros.
7

Es utilizado ampliamente en bancos, tiendas en lnea y cualquier tipo de servicio que

requiera el envo de datos personales o contraseas. No todos los sitios web usan SSL, por
eso se debe ser cuidadoso.

HTTPS
Hypertext Transfer Protocol Secure ( HTTPS) es una combinacin del protocolo HTTP y
protocolos criptogrficos. Se emplea para lograr conexiones ms seguras en la WWW,
8

generalmente para transacciones de pagos o cada vez que se intercambie informacin

sensible (por ejemplo, claves) en internet.
La definicin de este trmino es un protocolo de aplicacin que se basa en el protocolo
http, que est destinado a la transferencia segura de datos de hipertexto. O sea es la versin
segura de http. Este protocolo lo utilizan entidades bancarias, tiendas en lnea y cualquier
servicio que solicite el envo de datos personales o contraseas a travs de la web.
Entre sus caractersticas est la utilizacin de un cifrado establecido en SSL/TLS para crear
un canal cifrado ms adecuado para la transferencia de informacin sensible como son
usuario y claves de paso, que el http. El nivel de cifrado de este canal va a depender del
servidor remoto y del navegador que utilice el cliente. A su vez, de esta manera, se
consigue que esa informacin privada o sensible no pueda ser usada por un atacante que
haya podido interceptar la transferencia de datos, porque lo que consigue son datos
cifrados que no puede descifrar.

FUNCIONAMIENTO DE HTTPS

Para cifrar datos se necesita una clave. Esa clave tendr que saberla tanto el navegador
como el servidor para poder comunicarse. El primer problema aparece rpidamente: cmo
compartimos una clave de forma segura (sin que nadie ms pueda saberla)? Est claro que
la clave tiene que ser nica para cada conexin, por lo que no puede venir preconfigurada
en los ordenadores.
Aqu entra en juego una de las maravillas de la criptografa moderna: un sistema de clave
pblica/clave privada, cifrado asimtrico.
Las claves pblica y privada son un par de nmeros relacionados de una forma especial, de
tal forma que un mensaje cifrado con una clave slo puede ser cifrado con su par
correspondiente. Por ejemplo, si quiero enviar un mensaje a un servidor, lo cifro con su
clave pblica para que slo se pueda descifrar con su clave privada.
Y precisamente este es el primer paso esencial de una conexin HTTPS. Despus de haber
acordado detalles tcnicos entre navegador y servidor (versin del protocolo, algoritmos de
cifrado asimtrico y simtrico que se usarn...), el navegador cifra una preclave generada
en el momento con la clave pblica del servidor al que nos queremos conectar. Eso se
enva al servidor, que descifra la preclave con su clave privada.
Tanto el servidor como el navegador aplicarn un cierto algoritmo a la preclave y
obtendrn la misma clave de cifrado. De esta forma hemos superado el primer (y mayor)
problema que tenamos: intercambiar la clave. A partir de entonces, simplemente se cifran
y descifran los datos con esa clave.
Como nadie ms sabe esa clave, nuestras comunicaciones sern seguras y nadie podr
verlas (siempre y cuando el algoritmo de cifrado simtrico sea seguro, claro).
Alguno se preguntar por qu intercambiar una clave y no cifrar directamente los datos
usando cifrado asimtrico. La principal razn es que el cifrado simtrico es muchsimo ms
rpido que el asimtrico, e intercambiar la clave no resulta un problema que haya que
sortear.
El envo de datos mediante ste protocolo est protegido mediante las tres capas clave de
seguridad que ofrece TLS:
1. Cifrado: se cifran los datos intercambiados para mantenerlos a salvo de miradas
indiscretas. Ello significa que cuando un usuario est navegando por un sitio web,

10

nadie puede "escuchar" sus conversaciones, hacer un seguimiento de sus

actividades por las diferentes pginas ni robarle informacin.
2. Integridad de los datos: los datos no pueden modificarse ni daarse durante las
transferencias, ni de forma intencionada ni de otros modos, sin que esto se detecte.
3. Autenticacin: garantiza que tus usuarios se comuniquen con el sitio web previsto.
Proporciona proteccin frente a los ataques "man-in-the-middle" y contribuye a la
confianza de los usuarios, lo que se traduce en otros beneficios empresariales.
HTTP funciona en la capa de aplicacin (sptima capa) del Modelo OSI, que es la capa
ms alta. Sin embargo, el cifrado que da lugar a HTTPS, se realiza en una capa ms baja,
mediante SSL/TLS.

SSL/TLS EN HTTPS
Una conexin SSL siempre es iniciada por el cliente. Al principio de una sesin SSL, se
realiza un protocolo de enlace SSL. Este protocolo de enlace produce los parmetros
criptogrficos de la sesin. Una visin general simplificada de cmo se procesa el

11

protocolo de enlace SSL se muestra en este ejemplo se supone que se est estableciendo la
conexin SSL entre un navegador web y un servidor web:

Estos son los 9 pasos de la conexin HTTPS

12

1. El cliente enva el mensaje "hello" que lista las posibilidades criptogrficas del
cliente (clasificadas por orden de preferencia del cliente), como la versin de SSL,
los grupos de programas de cifrado soportados por el cliente y los mtodos de
compresin de datos soportados por el cliente. El mensaje tambin contiene un
nmero aleatorio de 28 bytes.
2. El servidor responde con el mensaje "hello" del servidor que contiene el mtodo
criptogrfico (conjunto de programas de cifrado) y el mtodo de compresin de
datos seleccionados por el servidor, el ID de sesin y otro nmero aleatorio.
El cliente y el servidor deben dar soporte como mnimo a un conjunto de cifrado
comn; de lo contrario, el protocolo de enlace dar error. Generalmente, el servidor
elige el conjunto de programas de cifrado comn ms potente.
3. El servidor enva su certificado digital. (El servidor utiliza certificados digitales
X.509 V3 con SSL.)
Si el servidor utiliza SSL V3 y si la aplicacin de servidor (por ejemplo, el servidor
web) requiere un certificado digital para la autenticacin de cliente, el servidor
enva el mensaje "digital certificate request". En el mensaje "digital certificate
request", el servidor enva una lista de los tipos de certificados digitales soportados
y los nombres distinguidos de autoridades de certificacin aceptables.
4. El servidor enva el mensaje "hello done" de servidor y aguarda una respuesta del
cliente.
5. Al recibir el mensaje "hello done" del servidor, el cliente (el navegador web)
verifica la validez del certificado digital del servidor y comprueba que los
parmetros del mensaje "hello" del servidor son aceptables.
Si el servidor ha solicitado un certificado digital del cliente, el cliente enva un
certificado digital o, si no hay ningn certificado digital adecuado disponible, el
cliente enva la alerta "no digital certificate". Esta alerta slo es un aviso, pero la
aplicacin de servidor puede hacer que la sesin sea anmala si la autenticacin del
cliente es obligatoria.
6.

El cliente enva el mensaje "client key exchange". Este mensaje contiene el secreto
pre-maestro, un nmero aleatorio de 46 bytes utilizado en la generacin de las
claves de cifrado simtrico y las claves de cdigo de autenticacin de
mensajes (MAC), cifradas con la clave pblica del servidor.
Si el cliente ha enviado un certificado digital al servidor, el cliente enva un
mensaje "digital certificate verify" firmado con la clave privada del cliente. Al
verificar la firma de este mensaje, el servidor puede verificar explcitamente la
propiedad del certificado digital del cliente.

13

Nota:
No es necesario un proceso adicional para verificar el certificado digital del
servidor. Si el servidor no tiene la clave privada que pertenece al certificado digital,
no podr descifrar el secreto pre-maestro y crear las claves correctas para el
algoritmo de cifrado simtrico y el protocolo de enlace dar error.
7.

El cliente utiliza una serie de operaciones criptogrficas para convertir el secreto

pre-maestro en un secreto maestro, del que se deriva todo el material de clave
necesario para el cifrado y la autenticacin de mensajes. A continuacin, el cliente
enva el mensaje "change cipher spec" para que el servidor conmute al conjunto de
programas de cifrado recin negociado. El siguiente mensaje enviado por el cliente
(mensaje "finished") es el primer mensaje cifrado con este mtodo y estas claves de
cifrado.

8. El servidor responde con mensajes propios "change cipher spec" y "finished".

9. El protocolo de enlace SSL finaliza y los datos de aplicacin cifrados se pueden
enviar.

14

PROTECCIN CON HTTPS

La pregunta obvia es saber qu datos se protegen cuando usamos una conexin HTTPS.
Como est basado en SSL/TLS, que funciona en la capa ms baja de comunicacin, se
cifran todos los datos de HTTP. Esto es, no slo la pgina web sino tambin la URL
completa, los parmetros enviados, las cookies... Lo nico que se queda al descubierto son
los datos del paquete TCP: el servidor y el puerto al que nos conectamos.
Por lo tanto, HTTPS no slo impide que alguien vea las pginas web que estamos
visitando. Tambin impide que puedan conocer las URLs por las que nos movemos, los
parmetros que enviamos al servidor (por ejemplo, los usuarios y contraseas se envan
como parmetros POST normalmente) o las cookies que enviamos y recibimos (alguien
con acceso a estas cookies podra robar nuestra sesin, como demostraba la herramienta.

15

Errores comunes al utilizar el protocolo HTTPS/TLS

Durante el proceso para hacer que tu sitio sea seguro mediante TLS, debes evitar cometer
estos errores:

Certificados caducados: Comprueba siempre que tu certificado est actualizado

Certificado registrado a nombre de un sitio web incorrecto: Comprueba que
hayas registrado tu certificado al nombre de host correcto. Por ejemplo, si registras
el certificado para www.example.com y el sitio web est configurado para utilizar

"example.com", tendrs un error de discordancia de nombre de certificado.

Falta de compatibilidad con la indicacin de nombre del servidor (SNI):
Comprueba que el servidor web sea compatible con SNI y que la audiencia utilice
navegadores que sean compatibles habitualmente. Todos los navegadores
modernos son compatibles con SNI, pero si quieres admitir navegadores ms

antiguos necesitars una IP dedicada.

Problemas de rastreo: No bloquees el sitio HTTPS mediante un

archivo robots.txt para que no pueda rastrearse.

Problemas de indexacin: Debes permitir que los motores de bsqueda indexen

tus pginas siempre que sea posible. Evita el uso de la metaetiqueta noindex.
Versiones del protocolo anterior: Las versiones de OpenSSL anteriores son
vulnerables; comprueba que tengas las versiones ms recientes y nuevas de las

bibliotecas TLS.
Elementos de seguridad mezclados: Inserta nicamente contenido HTTPS en las

pginas HTTPS.
Contenido diferente en HTTP y HTTPS: Comprueba que el contenido de tus

sitios HTTP y HTTPS sea el mismo.

Errores de cdigo de estado HTTP en HTTPS: Comprueba que el sitio web
devuelva el cdigo de estado HTTP correcto. Por ejemplo, 200 OK para pginas
accesibles, o 404 o 410 para pginas que no existen.

16

GLOSARIO
1. W3C: World Wide Web Consortium (W3C), es un consorcio internacional que
genera recomendaciones y estndares que aseguran el crecimiento de la World
Wide Web a largo plazo.
2. IETF: Internet Engineering Task Force (IETF) (en espaol Grupo de Trabajo de
Ingeniera de Internet1 ) es una organizacin internacional abierta de
normalizacin, que tiene como objetivos el contribuir a la ingeniera de Internet,
actuando en diversas reas, como transporte, encaminamiento, seguridad.
3. URL: Un localizador de recursos uniforme LRU (ms conocido por la sigla URL,
del ingls Uniform Resource Locator)es una cadena de caracteres con la cual se
asigna una direccin nica a cada uno de los recursos de informacin disponibles
en Internet. Existe un URL nico para cada pgina de cada uno de los documentos
de la WWW.
4. COOKIES: es una pequea informacin enviada por un sitio web y almacenada en
el navegador del usuario, de manera que el sitio web puede consultar la actividad
previa del usuario.
5. RSA: En criptografa, RSA (Rivest, Shamir y Adleman) es un sistema criptogrfico
de clave pblica desarrollado en 1977. Es el primer y ms utilizado algoritmo de
este tipo y es vlido tanto para cifrar como para firmar digitalmente.
6. MD5: En criptografa, MD5 (abreviatura de Message-Digest Algorithm 5,
Algoritmo de Resumen del Mensaje 5) es un algoritmo de reduccin criptogrfico
de 128 bits ampliamente usado. uno de sus usos es el de comprobar que algn
archivo no haya sido modificado.
7. SHA: El SHA (Secure Hash Algorithm, Algoritmo de Hash Seguro)es una familia
de funciones hash de cifrado publicadas por el Instituto Nacional de Estndares y
Tecnologa (NIST).
8. TCP: Transmission Control Protocol (TCP) o Protocolo de Control de
Transmisin, es uno de los protocolos fundamentales en Internet.
9. X.509: En criptografa es un estndar para infraestructuras de claves
pblicas (en ingls, Public Key Infrastructure o PKI) que especifica, entre otras
cosas, formatos estndar para certificados de claves pblicas y un algoritmo de
validacin de la ruta de certificacin.
10. SNI: Server Name Indication (SNI, en espaol: Indicacin de nombre de servidor)
es una extensin del protocolo TLS. Este indica qu nombre de host el cliente est
intentando conectar antes de que el proceso de handshaking se complete. Esta
17

funcionalidad permite a un servidor utilizar mltiples certificados en una

misma direccin IP y nmero de puerto y permitir mltiples sitios seguros
(HTTPS) o cualquier otro servicio sobre TLS pueda ser servido en una misma IP
sin que todos los sitios compartan un certificado comn. Esto es equivalente a al
concepto de VirtualHost HTTPS sobre el protocolo HTTP/1.1.
11. Handshaking: es un proceso automatizado de negociacin que establece de forma
dinmica los parmetros de un canal de comunicaciones establecido entre dos
entidades antes de que comience la comunicacin normal por el canal. De ello se
desprende la creacin fsica del canal y precede a la transferencia de informacin
normal.

Conclusin
En conclusin podemos decir que a medida que creci la utilizacin de la web, con el
protocolo HTTP, tambin creci el riesgo hacia los datos que por ella circulan, y se empez
a notar las fallas que ste protocolo tena en cuanto a lo que refiere a seguridad.
18

A raz de ste problema la compaa Netscape desarrollo el protocolo de seguridad SSL,

que luego se convirti en estndar de seguridad que utilizan la mayora de las pginas web
hoy en da, o por lo menos las ms importantes. ste protocolo dara paso ms adelante al
protocolo TLS, que est basado en SSL y son completamente compatibles, con la salvedad
de que TLS es de uso libre y es reconocido como estndar de seguridad por la IETF.
Finalmente utilizando la gran eficiencia en cuanto a transferencia de datos de HTTP, y
complementndolo con los mtodos de cifrado seguro de TLS surge HTTPS siendo el
protocolo de transferencia segura de datos ms utilizado hoy en da. El cul cifra los datos
que circulan en la transaccin cliente/servidor de principio a fin utilizando un combinacin
de mtodos simtricos y asimtricos el cifrado de datos.
A parte del gran desarrollo que ha tenido la seguridad informtica siempre existen riesgos
la seguridad cmo la clonacin de pginas, spyware etc. Por lo que prestar atencin al
ingresar a una pgina que solicita informacin personal o bancaria nunca est de ms.

WEBGRAFA

http://es.slideshare.net/JosefaYareni/protocolos-informaticos
https://www.digicert.com/es/ssl.htm
http://todoemailmarketing.com/tls-vs-ssl-cual-es-la-diferencia/
19

http://www.zator.com/Internet/A3_7.htm
http://www.definicionabc.com/tecnologia/http.php
http://penta2.ufrgs.br/gereseg/unlp/tut1998/ssl.htm
http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls
http://www.alegsa.com.ar/Dic/https.php
http://www.genbeta.com/web/https-asi-funciona
http://todotecnology.blogspot.com/2010/01/protocolos-de-seguridad-web.html
https://es.wikipedia.org/wiki/World_Wide_Web_Consortium
https://support.microsoft.com/es-py/kb/246071
http://www.ehowenespanol.com/diferencia-criptografia-simetrica-asimetrica-

info_195801/
https://itunews.itu.int/es/3781-Lo-mas-destacado-de-El-mundo-en-2013-datos-ycifras-relativos-a-las-TIC.note.aspx

BIBLIOGRAFA

Linux, Mxima Seguridad (Annimo). Prentice Hall. Edicin Especial(Captulo 15)

ANEXO

20

Imagen 1. Uso de protocolo HTTPS

Imagen 2. Funcionamiento general de SSL/TLS

21

Imagen 3. Ataque de troyano Trojan.Tatanarg

22