¿Qué es la fijación de certificados y cómo funciona?

Última actualización por Dionisie Gitlan
Certificate Pinning

Imagina que estás usando una aplicación de banca móvil y acabas de completar una transacción. Querrías que esa información confidencial estuviera segura, ¿no es así?

Aquí es donde la fijación de certificados juega un papel crucial. Es una precaución de seguridad empleada por los desarrolladores de aplicaciones para garantizar que sus datos se comuniquen de forma segura a través de la red.

Pero, ¿qué es la fijación de certificados y cómo funciona exactamente? ¿Y hay alguna desventaja que debas tener en cuenta? Echemos un vistazo más de cerca.

Índice

  1. ¿Qué es la fijación de certificados?
  2. ¿Cómo funciona la fijación SSL?
  3. Beneficios de la fijación SSL
  4. Problemas de fijación SSL
  5. Alternativas de fijación SSL

¿Qué es la fijación de certificados?

El anclaje de certificados es una medida de seguridad que vincula un host con su certificado digital o clave pública esperados. Implica técnicas como la fijación estática o dinámica, que permiten al sistema verificar la identidad de un host.

En lugar de confiar únicamente en el sistema predeterminado de comprobación de si una autoridad de certificación de confianza firma el certificado SSL de un servidor, el anclaje de certificados codifica un certificado específico o su clave pública dentro de la aplicación. Esto garantiza que la aplicación solo acepte ese certificado aprobado previamente, lo que reduce el riesgo de ataques de intermediario, conexiones de servidor no autorizadas y entidades de certificación deshonestas.

Técnicas utilizadas en la fijación SSL

Examinemos las técnicas utilizadas en el anclaje SSL, específicamente el anclaje de certificados y claves públicas, para que pueda comprender mejor cómo funciona.

  • Anclaje SSL de certificados: Incrusta un certificado SSL en particular directamente en el código de la aplicación para que solo confíe y establezca conexiones seguras con un servidor si presenta el certificado predefinido exacto. Este enfoque mejora la seguridad, pero puede plantear desafíos durante las actualizaciones de certificados.
  • Fijación de clave pública: se centra en un nivel más granular especificando y verificando solo la clave pública extraída del certificado SSL. De esta manera, se ofrece una mayor flexibilidad en comparación con la fijación de certificados, lo que facilita la actualización de certificados sin modificar el código de la aplicación. Si ancla solo la clave pública, el certificado girado suele mantener la misma clave pública.

Tipos de anclaje SSL

Tanto el anclaje SSL estático como el dinámico mejoran la seguridad en la comunicación entre una aplicación y un servidor. La diferencia es la forma en que los desarrolladores de aplicaciones iOS y Android manejan los certificados. El anclaje SSL estático inserta el certificado en la propia aplicación, mientras que el anclaje SSL dinámico permite que la aplicación actualice el certificado con el tiempo.

  • Fijación SSL estática: El certificado SSL está codificado de forma rígida en la propia aplicación. Este método, aunque sólido, no permite actualizaciones de certificados, lo que presenta posibles problemas de seguridad. Si el certificado anclado de forma rígida caduca o se ve comprometido, debe actualizar toda la aplicación para implementar un nuevo certificado SSL. Por lo tanto, la fijación SSL estática requiere una planificación meticulosa.
  • Fijación dinámica de SSL: este método ofrece un enfoque más flexible para la fijación de certificados, lo que permite actualizaciones sin necesidad de una revisión completa de la aplicación. La fijación dinámica de SSL recupera el certificado SSL o la clave pública durante el tiempo de ejecución y permite que las aplicaciones de software actualicen los certificados anclados de forma dinámica. Proporciona seguridad adicional al mantener la integridad de la comunicación entre el cliente y el servidor.

¿Qué certificados se pueden anclar?

Por lo general, los desarrolladores anclan el certificado de hoja o la clave pública correspondiente al certificado de hoja. El certificado leaf es el que corresponde directamente al dominio para el que se establece la conexión segura.

A continuación, se muestra una breve descripción general de los diferentes tipos de certificados de la cadena TLS que puede anclar:

  • Certificado de hoja (certificado de servidor o entidad final): este certificado está asociado directamente con el dominio del servidor y contiene la clave pública.
  • Certificados intermedios: estos certificados se encuentran entre el certificado raíz y el certificado de entidad final (hoja) como parte de la cadena de confianza en las conexiones TLS.
  • Certificado raíz: El certificado raíz es el nivel más alto de la jerarquía de certificados. Está autofirmado y representa el ancla de confianza definitiva. Los certificados raíz están preinstalados en navegadores web y sistemas operativos.

Por lo general, no se recomienda anclar el certificado raíz, ya que reduce la flexibilidad para actualizar el certificado del servidor. La fijación de certificados intermedios también es menos común, ya que pueden estar sujetos a cambios durante las renovaciones de certificados. La fijación de certificados de servidor o sus claves públicas es la práctica más común.

¿Cómo funciona la fijación SSL?

Cuando se conecta a un sitio web seguro, su navegador compara el certificado SSL del sitio con una lista de CA de confianza. Si el certificado es válido, la conexión continúa. La fijación SSL asegura aún más este proceso.

Con la fijación SSL, la aplicación no solo confía en el certificado SSL porque lo emite una entidad de certificación de confianza. En su lugar, compara el certificado con una copia o “pin” almacenado en la aplicación. Si el certificado no coincide con el pin, la conexión se anula. Al cotejar el PIN, la aplicación puede verificar la identidad del sitio, incluso si el atacante tiene un certificado válido de una CA confiable.

Este es el proceso paso a paso de fijación de certificados para aplicaciones móviles:

  • Iniciar conexión: La aplicación móvil inicia una conexión segura con el servidor.
  • Certificado de servidor: El servidor presenta su certificado SSL, incluyendo una clave pública, y el cliente lo verifica.
  • Configuración de anclaje: la aplicación está configurada para confiar en un certificado SSL específico, como el emitido por el servidor.
  • Comprobación de certificados: la aplicación comprueba si el certificado presentado coincide con el preaprobado.
  • Conexión segura: si hay una coincidencia, la aplicación establece una conexión segura; de lo contrario, rechaza la conexión, lo que mejora la seguridad.

Por ejemplo, si la aplicación espera un certificado emitido por “Sectigo CA”, solo se conectará a los servidores que presenten un certificado firmado por “Sectigo CA”, lo que reduce los posibles riesgos de seguridad.

Beneficios de la fijación SSL

La fijación SSL ofrece numerosos beneficios, entre ellos la mejora de la seguridad. Proporciona mitigación de la suplantación de certificados, ofrece protección contra la ingeniería inversa y sirve como defensa contra el abuso de la API. Además, mejora la confiabilidad de su aplicación, reforzando la confianza del usuario en su plataforma.

  1. Seguridad mejorada. La fijación de certificados precarga la clave pública o el certificado del servidor en la aplicación. De esta manera, incluso si un pirata informático logra engañar a su sistema para que acepte un certificado fraudulento, la aplicación solo aceptará el certificado precargado.

    Este mecanismo de defensa bloquea el acceso no autorizado o la manipulación de los datos transmitidos entre la aplicación y el servidor. Al implementar la fijación SSL, está elevando efectivamente la barrera para los piratas informáticos, lo que hace que su sistema sea cada vez más resistente a las amenazas cibernéticas.
  2. Mitigación de la suplantación de certificados. La suplantación de certificados consiste en presentar un certificado SSL falso para engañar a los sistemas para que confíen en una entidad no autorizada, lo que permite la posible interceptación y manipulación de comunicaciones seguras.

    Esta mitigación funciona bloqueando al cliente para que acepte un certificado específico o un certificado firmado por una autoridad determinada. Si un ciberdelincuente intenta falsificar un certificado, su sistema lo rechazará porque no es el certificado designado, lo que mejora significativamente su seguridad contra posibles amenazas.
  3. Protección contra la ingeniería inversa. Además de mitigar la suplantación de certificados, la fijación SSL protege su sistema de la ingeniería inversa, una maniobra engañosa utilizada a menudo por los piratas informáticos para diseccionar y replicar su software.

    Al codificar de forma rígida el certificado o la clave pública del servidor en la aplicación, está creando de forma eficaz una identidad única e inalterable para el servidor. Como resultado, los piratas informáticos no pueden usar sus certificados. Además, es una medida proactiva que te alerta de cualquier discrepancia o posible ataque antes de que pueda causar daños.
  4. Defensa contra el abuso de API. Más allá de la protección contra la ingeniería inversa, la fijación SSL también ofrece una sólida defensa contra el abuso de API (interfaz de programación de aplicaciones), una de las amenazas más frecuentes en el panorama digital actual. El abuso de la API generalmente implica que los atacantes explotan las debilidades de la API, lo que lleva a accesos no autorizados y violaciones de datos.

    Sin embargo, con la fijación de certificados, está agregando una capa adicional de seguridad. Garantiza que la aplicación solo se comunique con el servidor designado, lo que anula el riesgo de ataques de intermediario.
  5. Mejora de la confiabilidad. La fijación SSL puede mejorar significativamente la confiabilidad de su aplicación, asegurando a los usuarios que maneja sus datos de la manera más profesional. Con la fijación de certificados, se establece una capa de seguridad adicional, vinculando la aplicación a un certificado o clave pública específicos.

    De esta manera, incluso si un atacante logra falsificar un nuevo certificado, el anclaje bloqueará la conexión, fortaleciendo la confianza en la seguridad de los datos de su aplicación.

    Esta mejora de la fiabilidad equivale a una mayor confianza, lealtad y compromiso de los usuarios. Cuanto más confiable sea su aplicación, más probable será que los usuarios le confíen sus datos.

Problemas de fijación SSL

Si bien la fijación SSL ofrece beneficios de seguridad sustanciales, no está exenta de problemas que deberá navegar.

La fijación SSL introduce una sobrecarga de mantenimiento significativa, lo que provoca posibles desafíos para el mantenimiento y la confiabilidad de su sistema.

Se enfrentará a actualizaciones constantes debido a la fijación de certificados, y su sistema o aplicación puede volverse vulnerable si no se administra correctamente.

Puede ser un reto cuando se escala y se trata de varios certificados. Si se implementa incorrectamente, la fijación de certificados podría bloquear inadvertidamente los servidores legítimos, lo que provocaría bloqueos de la aplicación o problemas de acceso.

Una implementación en particular quedó obsoleta debido a importantes problemas de seguridad. HTTP Public Key Pinning (HPKP) permitió a los sitios web indicar a los navegadores que aceptaran solo claves públicas específicas durante un período de tiempo designado.

Sin embargo, su caída se debió a su compleja configuración y a los riesgos asociados. La configuración incorrecta de los parámetros de anclaje podría dar lugar a resultados graves, lo que podría provocar una denegación de servicio para los sitios web.

Si bien la fijación SSL puede mejorar la seguridad de su aplicación, no es una solución milagrosa y puede adormecerlo con una sensación de seguridad potencialmente falsa. Además, muchos expertos en seguridad lo consideraron obsoleto debido a los desafíos anteriores.

Debes ser consciente de estas cuestiones y considerar las alternativas para tomar la decisión más informada para tu situación específica. Analicemos estos desafíos y exploremos otras opciones viables.

Alternativas de fijación SSL

Si bien la fijación SSL tiene sus problemas, existen alternativas viables que podría considerar.

  • Certificate Transparency (CT) ofrece un registro público de certificados, lo que proporciona visibilidad y evita la emisión errónea o los certificados fraudulentos.
  • Protocolo de estado de certificados en línea (OCSP) El grapado es otro método para obtener el estado de revocación de un certificado.
  • La directiva de seguridad de contenido (CSP ) protege contra secuencias de comandos entre sitios (XSS) y otros ataques de inyección de código mediante la definición de fuentes de confianza.

PREGUNTAS FRECUENTES

¿Cuál es la diferencia entre grapado de certificados y fijación?

El grapado de certificados agiliza los protocolos de enlace TLS (Transport Layer Security), ya que el servidor presenta su certificado y una prueba de validez con marca de tiempo. Mientras tanto, la fijación de certificados aumenta la seguridad al vincular un certificado preciso a un servicio o aplicación, lo que frustra la aceptación de certificados no autorizados.

¿Cuál es la diferencia entre el anclaje de certificados y el encadenamiento?

El anclaje de certificados establece la seguridad mediante la asociación directa de un certificado criptográfico específico con las aplicaciones cliente, mientras que el encadenamiento de certificados verifica la autenticidad de un certificado mediante la validación de toda la cadena de certificados de confianza, incluidos los certificados intermedios y raíz.

¿Pueden los hackers eludir la fijación de certificados?

Si bien es un desafío, los piratas informáticos hábiles y decididos pueden encontrar formas de eludir la fijación de certificados a través de técnicas avanzadas. Por ejemplo, los atacantes pueden usar marcos de enganche como Cydia Substrate o Frida para interceptar y modificar el código de la aplicación en tiempo de ejecución.

Conclusión

La fijación de certificados SSL es un método que refuerza la seguridad de su conexión HTTPS al vincular firmemente su aplicación o sitio web con un certificado específico o clave pública. Pero por muy bueno que suene, no está exento de defectos.

A pesar de sus ventajas, la fijación de certificados tiene limitaciones. No garantiza una protección completa contra todo tipo de ataques, y las infracciones sofisticadas aún pueden eludirlo, lo que hace que su aplicación sea vulnerable.
En general, es una forma decente de mejorar su seguridad, pero no es el fin de las medidas de ciberseguridad. Considere las alternativas que hemos proporcionado para una protección a gran escala.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

¡Ahorra un 10% ahora!
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.

Entradas relacionadas
Check a Certificate with OpenSSL
¿Cómo verificar un certificado con comandos OpenSSL en Linux?
¿Qué es OpenSSL? ¿Cómo funciona OpenSSL?
What Is Port 443
Explicación del puerto 443: Qué es y por qué utilizarlo
OCSP Stapling
¿Qué es el grapado OCSP y cómo utilizarlo?
Port 443 vs 80
Puerto 443 y 80: ¿En qué se diferencian?