Universidad Nacional Abierta y a Distancia. Carvajal, Apellido Autor2, etc. Vulnerabilidades de seguridad.

Vulnerabilidades de seguridad en el protocolo

HTTPS en la UNAD
Carvajal, Carlos., Apellido, Richar J. Bettin Morales.
cecarvajal@unadvirtual.edu.co
rjbettinm@unadvirtual.edu.co
Universidad Nacional Abierta y a Distancia

ResumenEste trabajo nos permite conocer la

importancia de acceder a nuestras pginas con seguridad, ya
que nuestros datos son vulnerables a ser obtenidos por
terceros.

ndice de Trminos
Ataque informtico: Es un intento organizado e
intencionado causada por una o ms personas para causar dao
o problemas a un sistema informtico o red
Certificado digital: es el nico medio que permite
garantizar tcnica y legalmente la identidad de una persona en
Internet. Se trata de un requisito indispensable para que las
instituciones puedan ofrecer servicios seguros a travs de
Internet.
Cliente: es un individuo, sujeto o entidad que accede a
recursos, productos o servicios brindados por otra.
HTTP: HyperText Transfer Protocol (Protocolo de
transferencia de hipertexto) es el mtodo ms comn de
intercambio de informacin en la world wide web, el mtodo
mediante el cual se transfieren las pginas web a un ordenador.
HTTPS: protocolo de Transferencia de Hiper-Texto
(HTTPS) es la versin segura del http (Hyper Text Transfer
Protocool).
Navegador: es un programa que permite visualizar pginas
web en la red adems de acceder a otros recursos, documentos
almacenados y guardar informacin.
Protocolo: es un mtodo estndar que permite la
comunicacin entre procesos, es decir, es un conjunto de
reglas y procedimientos que deben respetarse para el envo y
la recepcin de datos a travs de una red.
Seguridad: se refiere a las caractersticas y condiciones de
sistemas de procesamiento de datos y su almacenamiento, para
garantizar su confidencialidad, integridad y disponibilidad.
Servidor: es un ordenador o mquina informtica que est
al servicio de otras mquinas, ordenadores o personas
llamadas clientes y que le suministran a estos, todo tipo de
informacin
Software: son los programas informticos que hacen
posible la realizacin de tareas especficas dentro de un
computador
SSL: (capa de sockets seguros) son una pieza esencial de la
seguridad de los sitios web. Al visitar un sitio web con SSL, el

certificado SSL del sitio web permite cifrar los datos que se
envan, de modo que ningn hacker pueda acceder a ellos
Trfico web: es la cantidad total datos generados por tus
visitantes. Depende tanto del contenido de tu pgina (textos,
imgenes y otros archivos), como del nmero de visitas
Vulnerabilidad: es el grado de prdida de un elemento o
grupo de elementos bajo riesgo, resultado de la probable
ocurrencia de un suceso desastroso expresada en una escala.

I.INTRODUCCIN
Este trabajo se plantea de forma breve un problema
real de investigacin para resolver una necesidad
existente dentro del contexto acadmico de la
UNAD, utilizando la Lnea de investigacin:
INFRAESTRUCTURA
TECNOLOGICA
Y
SEGURIDAD EN REDES: Tecnologa: Seguridad
en la web; posteriormente se formula la propuesta
de trabajo de investigacin teniendo en cuenta la
problemtica encontrada y la solucin que se dar
en el entorno utilizando la tecnologa moderna.
II.

ESTUDIO

Antecedentes
Muchas veces los usuarios no perciben que estn
siendo atacados y pueden ser vctima con solo dar
un clic o actualizar cualquier software o aplicacin
en sus equipos o re direccionando a pginas no
reales
Las pginas de registro y de inicio de sesin son el
principal foco de peligro, y por defecto, cargarn
con el protocolo HTTP, la informacin que se
intercambia entre el ordenador y el servidor de un
servicio web puede ser interceptada por una tercera
persona si se enva bajo el protocolo HTTP:
El punto ms dbil de HTTPS son los certificados.
Si, por ejemplo, alguien roba el certificado (con la
clave privada) de Google, podra crear un servidor
A.

Universidad Nacional Abierta y a Distancia. Carvajal, Apellido Autor2, etc. Vulnerabilidades de seguridad.

falso sin que hubiese forma de distinguirlo de uno

legtimo.i
Normalmente, cuando navegamos por internet lo
hacemos utilizando el protocolo HTTP, que
simplemente establece unas directrices acerca de
cmo se va a comunicar nuestro ordenador (cliente)
con un servidor (por ejemplo, el ordenador donde
est alojada la pgina de Genbeta). Establece cmo
se transfieren los datos, y en este caso, los datos se
transfieren sin ninguna modificacin, segn los
ests viendo ahora mismo.ii.

estudiantes de la UNAD, podemos tener problemas

de seguridad al ingresar a la pgina de la
universidad usando el protocolo HTTPS., la
importancia de este problema radica en la
vulnerabilidad de nuestra informacin durante
transferencia de hipertexto en espaol, donde se
destina la transferencia segura de datos, teniendo en
cuenta que la UNAD tiene una buena cantidad de
estudiantes se hace necesario buscar una ptima
solucin al problema ya que esto dara confianza en
la institucin. iv

B. Propsito
HTTPS es el protocolo de seguridad de facto para
los buscadores web, sin embargo, incidentes de
seguridad reportados ampliamente como DigiNotar,
#gotofail de Apple, Heartbleed de OPENSSL entre
otros, han evidenciado importantes vulnerabilidades
de este protocolo. La idea de esta propuesta es
ahondar en las vulnerabilidades del protocolo
HTTPS para proponer estrategias para mejorar el
gobierno de HTTPS con el propsito de mitigar los
riesgos de seguridad en implementaciones sobre la
web.
La UNAD posee enlaces que conectan diversas
redes, siendo estos enlaces caminos de conexin a
redes privadas internas y redes pblicas como el
internet, ofreciendo facilidades de comunicacin
interna con sus clientes. Entendiendo entonces que
la seguridad de la informacin va ms all de la
intervencin de los protocolos en s mismos, el
HTTPS (Hypertext Transfer Protocol Secure), o
Protocolo seguro de transferencia de hipertexto en
espaol, se destina a la transferencia segura de
datos, o sea la versin segura del HTTP.iii
Teniendo en cuenta que el problema a solucionar
son las Vulnerabilidades de seguridad en el
protocolo HTTPS en la UNAD, entonces extraemos
dos variables as: 1. las vulnerabilidades de
seguridad del protocolo HTTPS y 2. Su impacto en
la pgina web de la universidad. Las causas antes
planteadas dan sustento al planteamiento del
problema ya que cuando navegamos por internet lo
hacemos utilizando el protocolo HTTP, y adems
teniendo en cuenta los sntomas ya que muchas
veces los usuarios no perciben que estn siendo
atacados y pueden ser vctima con solo dar un clic,
se da el siguiente planteamiento al problema. Los

Lmites
Con el protocolo HTTPS podemos hacer dos cosas:
Verificar nuestra identidad: Si un mensaje (o parte)
lo ciframos con nuestro cdigo secreto, cualquier
persona ser capaz de leerlo, pero nadie ms habr
sido capaz de crearlo (necesitaran nuestra clave
ultra secreta).
Evitar mirones: Si se envia un mensaje, se usa el
cdigo pblico para cifrarlo y se cuelga por ejemplo
en un tabln de anuncios (o en un comentario). De
esta forma slo quien tenga el cdigo secreto ser
capaz de leerlo.
Implementar complementos al protocolo https o
medio como: v
OTR:
Off-the-Record
Messaging"
permite
comunicarse de forma segura y privada a travs de
mensajera instantnea. Proporciona tanto el cifrado
de los mensajes como el anonimato de los
participantes
PGP: El sistema de cifrado PGP (Pretty Good
Privacy) es un paquete de software de cifrado,
firmay autenticacin. Creado por Phil Zimmerman
hace ms de veinte aos, contina desarrollndose y
existen varias versiones disponibles hoy. El ms
utilizado es GNU Privacy Guard (GnuPG). An
hoy, parece ser el sistema ms resistente a los
ataques.
C.

III.
SUPUESTOS
El protocolo HTTPS enva la informacin cifrada,
resultando prcticamente imposible que nadie pueda
saber qu datos se estn intercambiando entre tu
ordenador y un servidor.vi
El envo de datos mediante el protocolo HTTPS est
asegurado mediante el protocolo de seguridad de la

Universidad Nacional Abierta y a Distancia. Carvajal, Apellido Autor2, etc. Vulnerabilidades de seguridad.

capa de transporte (TLS), que proporciona las tres

capas clave de seguridad siguientes:
Cifrado: se cifran los datos intercambiados para
mantenerlos a salvo de miradas indiscretas. Ello
significa que cuando un usuario est navegando por
un sitio web, nadie puede "escuchar" sus
conversaciones, hacer un seguimiento de sus
actividades por las diferentes pginas ni robarle
informacin.
Integridad de los datos: los datos no pueden
modificarse ni daarse durante las transferencias, ni
de forma intencionada ni de otros modos, sin que
esto se detecte.
Autenticacin: garantiza que tus usuarios se
comuniquen con el sitio web previsto. Proporciona
proteccin frente a los ataques "man-in-the-middle"
y contribuye a la confianza de los usuarios, lo que
se traduce en otros beneficios empresariales.vii.
IMPORTANCIA
La funcin del protocolo HTTPS, que usa SSL, es
verificar nuestra identidad y seguridad en la web, es
decir, conectarnos de manera segura y privada a
cualquier web que use este protocolo. La conexin
HTTPS y su cifrado SSL son sin duda alguna una
de las maneras ms seguras que tenemos para
conectarnos a la webviii
Se da este (equvoco) nombre a los servidores
WWW capaces de hablar HTTP sobre SSL, i.e.,
HTTPS, El software servidor HTTP (habitualmente
Apache) posee una extensin o mdulo que lo
capacita para hablar SSL (Apache-SSL), El
protocolo HTTPS se vincula habitualmente al
puerto 443, Adems de un servidor Web capacitado
para SSL, el servidor debe poseer un certificado de
su clave pblica, extendido por una autoridad de
certificacinix
As entonces se propone la asignacin de la mayor
seguridad posible, con conexin a Internet bajo
protocolo WPA2-AES-PSK con contrasea larga y
evaluar opciones de conexin Enterprise y EAP.
Para la navegacin web, se recomienda la correcta
configuracin del protocolo SSL en su pgina web y
el uso de Firewall o barreras cortafuegos como
medidas adicionales para puntos de conexin en
transacciones y comunicacin con clientes clave.
Lo ms relevante para comenzar con un proyecto de
seguridad de red, es la implementacin de una
Poltica de Seguridad, abarcando aspectos tcnicos
IV.

y administrativos, Una PSI (Poltica de Seguridad

Informtica) deber abarcar: x

Alcance de la poltica, incluyendo sistemas y

personal sobre el cual se aplica.

Objetivos de la poltica y descripcin clara

de los elementos involucrados en su definicin.

Responsabilidad de cada uno de los

servicios, recurso y responsables en todos los
niveles de la organizacin.

Responsabilidades de los usuarios con

respecto a la informacin que generan y a la que
tienen acceso.

Requerimientos
mnimos
para
la
configuracin de la seguridad de los sistemas al
alcance de la poltica.

Definicin
de
violaciones
y
las
consecuencias del no cumplimiento de la poltica.

Especificacin de que autoridad debe hacer

que las cosas ocurran, el rango de los correctivos y
sus actuaciones que permitan dar indicaciones sobre
la clase de sanciones que se puedan imponer. Pero,
no debe especificar con exactitud qu pasara o
cundo algo suceder; ya que no es una sentencia
obligatoria de la ley.

Explicaciones comprensibles (libre de

tecnicismos y trminos legales pero sin sacrificar su
precisin) sobre el porqu de las decisiones
tomadas.

Finalmente, como documento dinmico de la

organizacin, deben seguir un proceso de
actualizacin peridica sujeto a los cambios
organizacionales relevantes: crecimiento de la
planta de personal, cambio en la infraestructura
computacional, alta y rotacin de personal,
desarrollo de nuevos servicios, cambio o
diversificacin de negocios, etc.
V.

DISEO

Cuando
En el mes de marzo durante la realizacin del
trabajo colaborativo No 1 se crea la necesidad de
indagar sobre las vulnerabilidades de seguridad en
el protocolo HTTPS en la UNAD, y actualmente el
mes de abril en la realizacin del trabajo
colaborativo No 2 nos encontramos indagando ms
a fondo sobre el protocolo HTTPS..
.
A.

Universidad Nacional Abierta y a Distancia. Carvajal, Apellido Autor2, etc. Vulnerabilidades de seguridad.

Cmo
En la enseanza y aplicacin tanto a estudiantes
como a tutores sobre la correcta aplicacin de una
metodologa para el ingreso a la pgina web de la
Universidad donde debemos tener en cuenta que la
URL empieza por HTTPS en lugar de HTTP. Si la
barra de direcciones del navegador es de color verde
la pgina web es de la entidad que dice ser
B.

Que
Se trata de una herramienta tecnolgica que nos
permite mejorar la seguridad de la pgina de la
Universidad para evitar que se presente fuga de
informacin.
C.

Con que
Usando correctamente el botn de Identidad del
sitio (un candado) que aparece en la barra de
direcciones cuando visita una pgina segura.
Adems se puede descubrir de forma rpida y
sencilla si la conexin a la pgina est encriptado y,
en algunos casos, quin es el propietario
D.

Porque
Porque el actualmente el manejo de nuestra
informacin debe ser de vital importancia para ello
debemos sistematizar la seguridad donde
ingresamos los datos. Porque existen en pginas
web que no aplican los protocolos necesarios para
tener una buena seguridad. Porque el creciente
aumento de las bases de datos de la pgina de la
universidad puede hacer que colapse su seguridad
E.

VI.
CONCLUSIONES
Con el protocolo HTTPS, no slo podemos
impedir que alguien vea las pginas web que
estamos visitando. Tambin impide que puedan
conocer las URLs por las que nos movemos,
adems podemos cifrar no slo la pgina web sino
tambin la URL completa, los parmetros enviados
y las cookies.
REFERENCIAS

Julin, G. (2013). HTTPS: as funciona.

http://www.genbeta.com/web/https-asi-funciona

Genbeta.com.

Recuperado

18

Marzo

2016,

desde

ii

Julin, M. (2011). Explicando el protocolo HTTPS. Genbeta.com. Recuperado 18 Marzo 2016, desde
http://www.genbeta.com/guia-de-inicio/explicando-el-protocolo-https
iii

Mi sitio. (2014). Recuperado 13 Marzo 2016, desde http://teoriageneral2014unad.weebly.com/

iv

UNAD (2016). Leccin 11. La Pregunta de investigacin.

Recuperado 15 Abril
http://datateca.unad.edu.co/contenidos/100104/100104_EXE/leccin_11__la_pregunta_de_investigacin.html

2016,

desde

Zhong, P. (2016). Todos los Proyectos - PRISM Break. Prism-break.org. Recuperado 13 Marzo 2016, desde https://prismbreak.org/es/all/
vi

oficina
de
seguridad
del
internauta.
(2014).
OSI.
Recuperado
18
Marzo
https://www.osi.es/es/actualidad/blog/2014/02/28/que-pasa-si-una-pagina-web-no-utiliza-https.html

2016,

desde

vii

Support.google.com. (2016). Proteger un sitio con el protocolo HTTPS - Ayuda de Search Console. Recuperado 18 Marzo
2016, desde https://support.google.com/webmasters/answer/6073543?hl=es
viii

Viejo, H. (2014). 5 Problemas con la seguridad de HTTPS y SSL en la web. Rootear. Recuperado 18 Marzo 2016, desde
http://rootear.com/seguridad/5-problemas-con-https-y-ssl
ix

Cobas, J. D. G. (2005). Secure Sockets Layer (SSL). Di002.edv.uniovi.es. Recuperado 18 Marzo 2016, desde
http://di002.edv.uniovi.es/~fcano/sr/transparencias/transSSLCobas.pdf
x

Borghello, C. (2009). Recuperado 13 Marzo 2016, desde http://www.segu-info.com.ar/politicas/implementacion.htm