D. Juan Carlos Sánchez Hernández, responsable de seguridad y correo electrónico en el servicio de planificación informática y comunicaciones de la UPM
El pasado mes de marzo, la Universidad Politécnica de Madrid (UPM), realizó una batería de pruebas sobre los servicios https ofrecidos en las principales páginas web de su universidad. Entre las páginas comprobadas se encontraba https://eventos.upm.es de Symposium que con la herramienta online de SSLLABS obtuvo un valor en el conjunto de pruebas de «B».
SSLLABS aplica puntuaciones con la escala americana de puntuación, desde la A (Excellent) hasta F (Fail). La A además se gradúa en A+, A y A-
Identificando una opción de mejora en el «key exchange», D. Juan Carlos Sánchez Hernández, responsable de seguridad y correo electrónico en el servicio de planificación informática y comunicaciones de la UPM, contactó con Symposium para implantar las mejoras necesarias para mejorar la fortaleza del portal y obtener una calificación A.
Estimado Juan Carlos, ¿Por qué es importante que el protocolo http sea seguro? (https)
El tráfico http viaja por la red sin cifrar, lo cual implica que es susceptible de ser interceptado, capturado o modificado por terceros. Esto es un grave inconveniente, especialmente en servicios web con los que se intercambia información confidencial, que viene a solucionarse con el cifrado mediante la implementación de https.
Para ello, hay que dotar al servidor web de certificados, a ser posible reconocidos por los navegadores comunes. Pero no es suficiente; tanto los navegadores que utilizamos como los servidores a que nos conectamos deben estar libres de vulnerabilidades conocidas y configurados de forma que sea imposible -o muy difícil- evadir la seguridad.
Las universidades y webs institucionales ofrecen cada vez más servicios online ¿Cual cree que es la principal amenaza a la seguridad de estas webs y servicios?
En los servicios ofrecidos se debe evaluar la seguridad de los distintos componentes para asegurar que las dimensiones de confidencialidad, integridad, disponibilidad y trazabilidad estén dentro de parámetros admisibles. Como amenazas principales señalaría el acceso o modificación de información por terceros no autorizados o los ataques cuyo objetivo es que el servicio no se de con normalidad (denegación de servicio)
¿Que opinión le merece el nivel de fortaleza alcanzado con los certificados y servicio https de Symposium?
Muy bueno. Se ha elevado, introduciendo las mejoras necesarias para dar un nivel de seguridad adecuado a los usuarios del servicio. Antes ya era seguro, pero ahora el nivel alcanzado permite a los usuarios tener un mayor nivel de confianza. Además el cifrado no se limita a las páginas en que sería imprescindible, como donde se introducen las credenciales de acceso, sino que se extiende a todo el servicio, lo cual lo hace aún más confiable.
¿Que consejos de seguridad le daría al resto de usuarios del portal de eventos?
El usuario se suele considerar el eslabón más débil en la cadena de seguridad. Tanto para el portal de eventos como para cualquier otra navegación web segura es importante siempre tomar algunas precauciones, especialmente antes de facilitar datos personales o credenciales de acceso:
– Utilizar dispositivos de confianza y dotados de medidas de seguridad
– Utilizar siempre versiones actualizadas de los navegadores
– Comprobar que la URL del sitio que se visita coincide con la que se pretende y que comienza por https
– Estar atento a la información de seguridad del sitio web visitado que presenta el navegador. Desconfiar (mucho) si presenta alguna advertencia.