Como sabemos, el certificado SSL cumple la función de proteger nuestra página web de ataques de hackers, manteniendo a salvo los datos de nuestros clientes y toda la transferencia de datos que se maneja en nuestra web.
Pero, ¿es el SSL completamente seguro? ¿Realmente nunca podría ser hackeada nuestra web? Existen algunos casos de hackeo al certificado SSL, como también empresas proveedoras de certificados SSL que estafan a sus usuarios y en realidad no son certificaciones seguras.
El SQL Injection: una de las técnicas más comunes para hackear tu página web
Entre las muchas maneras que hay de intentar hackear una página web, tenemos el SQL injection o inyección de código SQL, un tipo de ataque específicamente útil contra sitios web que manejan una base de datos que utiliza MySQL, capaz de leer el lenguaje SQL procedente del servidor. Aunque tengas un excelente certificado SSL, podrías tener problemas si alguien intenta hackear tu página web utilizando esta técnica, para lograr obtener las listas de bases de datos disponibles, el usuario, y mucha de la información de la base de datos y también la llave privada de tu certificado SSL.
Para proteger tu página web de este tipo de ataques, debes asegurarte de contar con todos los parámetros de seguridad activados, incluso durante de el desarrollo de tu página web.
La clave de seguridad de tu SSL, ¿está bien protegida?
Otra forma de vulnerar la seguridad de tu certificado SSL es la vulnerabilidad de fug de la clave privada SSL; pues la mayoría de los hackers saben que las páginas cuentan con este certificado de seguridad así que lo atacan directamente. Mediante el SQL injection, un hackeo en la cuenta de administrador o incluso descarga de datos del servidor, el hacker puede hacerse con la llave privada; logrando descifrar la información importante que circula de tu página web a tu servidor. Para protegerte en estos casos, es importante no tener las claves privadas alojadas en los servidores web, sino más bien en algún dispositivo de seguridad de Hardware donde se custodien las claves privadas SSL.
Recientemente, un investigador demostró, en pocos segundos, cómo hackear un certificado SSL utilizando una aplicación creada específicamente para ello, llamada SSLstrip. La demostración, realizada en una conferencia de hackers Black Hat, dejó en entredicho la seguridad del SSL, realizando un ataque llamado “main-in-the-middle” con el cual es posible obtener tráfico proxy desde usuarios con ingreso seguro a los sitios que cumplen con el protocolo SSL. Para probar su éxito, comentó haber accedido a cuentas de correo, números de tarjeta de crédito, datos de PayPal, LinkedIn, etc. ¿cómo lo logró? Aprovechó el hecho de que los usuarios ingresan primero a una página sin el protocolo de seguridad y luego son redigiridos a la página que sí lo posee. Así, se monitorea el tráfico entre el navegador y el sitio antes de que el certificado SSL asegure la conexión. Sin embargo, esta vulnerabilidad ya ha sido reportada y los desarrolladores actualmente la tienen en cuenta al momento de reforzar los niveles de seguridad de los certificados SSL.
Ahora, los distintos certificados SSL proveen de diferentes grados de seguridad a cada sitio web. Para evitar problemas de hackeo en tu página, escoge el que más te convenga según el tipo de negocio y transacciones que se realizan en tu página web. Por ejemplo, necesitas más seguridad si en tu página web se realizan transacciones financieras, mientras que si manejas una página simplemente informativa, podrías adquirir el certificado básico.
Guíate por las especificaciones de cada tipo de certificado y escoge el que mejor se adapte a tus necesidades, ¡también podrías asesorarte con expertos en certificados SSL!
Leer también: ¿Cuando ocurre la negociación (SSL handshake) servidor-cliente?; La importancia del SSL para proteger tu correo corporativo
Licenciada en Letras, apasionada por la redacción creativa y el Marketing Digital. Convencida de que decirlo no basta, debe ser en el lugar indicado, con las palabras correctas y mucha creatividad.
More from Páginas web
Móvil primero y SEO: ¿están desactualizados los CMS?
Los CMS, como WordPress, han brillado durante muchos años gracias a una interfaz accesible, sencilla y completa. Por otro lado, …
IA para desarrollo web: todo lo que necesitas saber
IA para desarrollo web: todo lo que necesitas saber.En esta era digital, el desarrollo de aplicaciones web está creciendo a …
¿Qué es un servidor Proxy?
¿Qué es un servidor Proxy?.El mundo de TI se compone de muchos factores que trabajan en conjunto para hacer que …