Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today

Read more
Zpedia / ¿Qué es la inspección SSL?

¿Qué es la inspección SSL?

La inspección SSL es el proceso de interceptar y revisar la comunicación de Internet cifrada mediante SSL entre el cliente y el servidor. La inspección del tráfico SSL ha adquirido una importancia fundamental, ya que la gran mayoría del tráfico de Internet está cifrado con SSL, incluido el contenido malicioso.

Explore las preocupaciones sobre la inspección de SSL

¿Por qué es importante la inspección SSL?

Con la popularidad de las aplicaciones SaaS y la nube hoy en día, cada vez hay más datos que atraviesan Internet, con más frecuencia, exponiéndolos a un mayor riesgo. Por consiguiente, el cifrado es una parte esencial para mantener seguros los datos privados y confidenciales. Es por ello que la mayoría de los navegadores, servidores web y aplicaciones en la nube actualmente cifran los datos salientes e intercambian esos datos a través de conexiones HTTPS.

Desafortunadamente, funciona en ambos sentidos: si los datos confidenciales pueden ocultarse en el tráfico HTTPS, también pueden hacerlo las amenazas. Esto hace que una inspección SSL eficaz sea igualmente esencial, ya que permite a una organización inspeccionar completamente el contenido del tráfico descifrado antes de bloquearlo o volver a cifrarlo para que pueda seguir su camino.

Entre octubre de 2022 y septiembre de 2023, la nube de Zscaler bloqueó 29 800 millones de ataques integrados en tráfico cifrado (SSL/TLS). Esto supone un aumento del 24,3 % con respecto a 2022, que a su vez fue un 20 % mayor que el año anterior.

Zscaler ThreatLabZ

SSL frente a TLS

Es hora de una desambiguación. Secure Sockets Layer (SSL) y Transport Layer Security (TLS) son protocolos criptográficos que rigen el cifrado y la transmisión de datos entre dos puntos. Entonces, ¿cuál es la diferencia?

La ya desaparecida Netscape desarrolló SSL a mediados de la década de los noventa y lanzó SSL 3.0 a finales de 1996. TLS 1.0, basado en una versión mejorada de SSL 3.0, surgió en 1999. TLS 1.3, lanzado por Internet Engineering Task Force (IETF) en 2018, es la versión más reciente y segura a partir de esta escritura. Hoy en día, SSL ya no se desarrolla ni es compatible. Para 2015, IETF había declarado todas las versiones de SSL obsoletas debido a vulnerabilidades (por ejemplo, ataques de intermediarios) y a la falta de características de seguridad fundamentales.

A pesar de esto y de décadas de cambios, al margen de un sentido estrictamente técnico, la mayoría de los usuarios sigue utilizando el concepto de "SSL" como un cajón de sastre para los protocolos de cifrado. En otras palabras, cuando vea SSL, TLS, SSL/TLS, HTTPS, etc., todos significan lo mismo la mayoría de las veces. A efectos de este artículo, aclararemos su uso según sea necesario.

Ventajas de la inspección SSL

La implementación de la inspección SSL ayuda a las organizaciones actuales a mantener seguros a sus usuarios finales, clientes y datos, con la capacidad de:

  • Prevenir las infracciones de datos al encontrar malware oculto y evitar que los piratas informáticos se salten las defensas.
  • Ver y entender lo que los empleados están enviando fuera de la organización, de forma intencionada o accidental.
  • Cumplir con los requisitos de la normativa, garantizando que los empleados no pongan en riesgo datos confidenciales.
  • Apoyar una estrategia de defensa de varios niveles que mantenga a toda la organización segura.

La necesidad de la inspección SSL

La inspección SSL es una capacidad fundamental de seguridad de red para las organizaciones modernas, ya que la inmensa mayoría del tráfico web ahora está cifrado y algunos analistas de ciberseguridad estiman que más del 90 % de los programas maliciosos ahora se ocultan en canales cifrados.

A pesar de este aumento en el uso de cifrado, muchas organizaciones siguen realizando inspecciones SSL/TLS solamente en parte de su tráfico y, al mismo tiempo, permiten que el tráfico de ciertas fuentes de "confianza" pase sin ser inspeccionado. Debido a que Internet puede cambiar fácilmente, esto puede ser arriesgado. Los sitios web, por ejemplo, se entregan dinámicamente y pueden recurrir a múltiples fuentes para mostrar cientos de objetos, cada uno de los cuales puede representar una amenaza.

Mientras tanto, los creadores de malware están utilizando cada vez más el cifrado para ocultar sus vulnerabilidades. Al haber más de 100 autoridades de certificación SSL en todo el mundo, es fácil y barato obtener un certificado SSL válido. En cualquier momento, alrededor del 70 % del tráfico que procesa la nube Zscaler está cifrado, lo que acentúa la importancia de poder descifrar el tráfico SSL.

Así que, ¿por qué no lo hace todo el mundo? Es bastante simple: el descifrado, la inspección y el recifrado del tráfico SSL requieren mucha actividad informática y, sin la tecnología adecuada, el proceso puede tener un impacto devastador en el rendimiento de su red. La mayoría de las empresas no pueden permitirse paralizar su actividad empresarial y los flujos de trabajo, por lo que no tienen más opción que omitir la inspección por parte de los dispositivos que no pueden estar a la altura de las demandas de procesamiento.

El cifrado y el panorama moderno de las amenazas

Con la creciente preocupación por la privacidad de los datos en los últimos años, ha habido una fuerte tendencia hacia el cifrado por defecto. Esto es excelente para la privacidad, pero los requisitos técnicos, y en muchos casos, el precio del hardware necesario, son demasiado para muchas organizaciones. Como resultado, estas organizaciones no están equipadas para inspeccionar el tráfico cifrado a escala.

Los autores de amenazas lo saben y por ello las amenazas basadas en SSL están en aumento. Aunque los hackers han encontrado numerosas formas de infiltrarse en los sistemas y robar datos, romper el cifrado sigue siendo difícil y requiere mucho tiempo y, por lo tanto, es un enfoque poco eficiente. En su lugar, han comenzado a usar el cifrado ellos mismos para entregar contenido malicioso, ocultar malware y llevar a cabo ataques sin que se les detecte.

Durante años, el símbolo de un candado junto a la dirección URL de un sitio web comunicaba que el sitio era seguro, pero ya no es garantía de seguridad. No se debe confiar en el tráfico que se mueve a través de canales cifrados simplemente porque tenga un certificado digital. Antes se veía como la protección definitiva para los datos que se transmitían a través de Internet, pero ahora SSL se ha convertido en el terreno de juego perfecto para que los ciberdelincuentes lleven a cabo sus actos infames.

En junio de 2020, el 96 por ciento de las páginas de Google Chrome en los EE. UU. se cargaron mediante cifrado (HTTPS).

Informe de transparencia de Google

Cómo funciona la inspección SSL

Hay varios enfoques diferentes para el descifrado y la inspección de SSL. Veamos los más comunes y las consideraciones clave para cada uno.

Método de inspección SSL

Cómo funciona

  • Cortafuegos de próxima generación (NGFW)

    Las conexiones de red transmiten a través de un NGFW con visibilidad solo a nivel de paquete, lo que limita la detección de amenazas.

  • Proxy

    Se crean dos conexiones separadas entre el cliente y el servidor, con una inspección completa del flujo de la red y de la sesión.

Impacto de la inspección SSL

  • Cortafuegos de próxima generación (NGFW)

    Los NGFW solo ven una fracción de malware, lo que permite que se entregue en partes. Necesitan una funcionalidad de proxy vinculada y tienden a tener un rendimiento inferior cuando se habilitan características clave como la prevención de amenazas.

  • Proxy

    Todos los objetos se pueden volver a ensamblar y analizar, lo que permite el análisis mediante motores de detección de amenazas adicionales, como sandbox y DLP.

Impacto en estos métodos una vez que se utiliza TLS 1.3

  • Cortafuegos de próxima generación (NGFW)

    El rendimiento disminuye notablemente debido al aumento de los requisitos de rendimiento y escala de los cifrados TLS 1.3, que requieren una actualización de hardware para estar al día.

  • Proxy

    En el caso de un proxy en la nube suministrado como servicio, no es necesario actualizar los dispositivos por parte del cliente para satisfacer las necesidades de rendimiento y escala de TLS 1.3.

Para una explicación más detallada, podemos profundizar en cómo funciona en la plataforma Zscaler. Cuando habilita la inspección SSL con Zscaler, el proceso funciona de este modo:

  1. Un usuario abre un navegador y envía una solicitud HTTPS.

  2. El servicio Zscaler intercepta la solicitud HTTPS. A través de un túnel SSL separado, el servicio envía su propia solicitud HTTPS al servidor de destino y realiza las negociaciones SSL.

  3. El servidor de destino envía al servicio Zscaler su certificado con su clave pública.

  4. El servicio Zscaler y el servidor de destino completan el protocolo de enlace SSL. Los datos de la aplicación y los mensajes posteriores se envían a través del túnel SSL.

  5. El servicio Zscaler lleva a cabo negociaciones SSL con el navegador del usuario. Envía al navegador el certificado intermedio de Zscaler o la raíz intermedia personalizada de su organización, así como un certificado de servidor firmado por la autoridad de certificación intermedia de Zscaler. El navegador valida la cadena de certificados en el almacén de certificados del navegador.

  6. El servicio Zscaler y el navegador completan el protocolo de enlace SSL. Los datos de la aplicación y los mensajes posteriores se envían a través del túnel SSL.

Zscaler y la inspección SSL

La plataforma Zscaler Zero Trust Exchange™ permite una inspección SSL completa a escala sin limitaciones de latencia o capacidad. Al combinar la inspección SSL con nuestra completa pila de seguridad como servicio en la nube, obtendrá una protección superior sin verse limitado por los dispositivos.

Capacidad ilimitada

Inspeccione el tráfico SSL de todos sus usuarios, dentro o fuera de la red, con un servicio que se escala de forma elástica para satisfacer sus demandas de tráfico.

Administración más racional

Deje de administrar certificados individualmente en todas las puertas de enlace. Los certificados subidos a la nube de Zscaler están inmediatamente disponibles en más de 150 centros de datos de Zscaler en todo el mundo.

Control granular de políticas

Garantice el cumplimiento con la flexibilidad de excluir el tráfico cifrado de usuarios para categorías de sitios web confidenciales, como la sanidad o la banca.

Seguridad y protección

Manténgase protegido con el apoyo de las suites más recientes de cifrado AES/GCM y DHE para lograr la total privacidad en el reenvío. Los datos de usuario nunca se almacenan en la nube.

Gestión simplificada de certificados

Utilice nuestros certificados o traiga los suyos. Utilice nuestra API para alternar fácilmente sus certificados con la frecuencia que necesite.

¿Está preparado para saber más sobre cómo puede inspeccionar el tráfico cifrado sin limitaciones ni costosos aparatos? Vea cómo la Zscaler SSL Inspection puede ayudar.

Recursos sugeridos