SSL y S-HTTP supuestamente sirven para que podamos hacer operaciones privadas y seguras a través de Internet, usando la interface del web. Pero la realidad puede ser algo más compleja, porque influyen los servidores, los navegadores, etc.
Por Antonio Caravantes
Internet es un conjunto de ordenadores interconectados mediante una serie de procedimientos (protocolos) estandarizados. SSL son las iniciales de Secure Socket Layer, un protocolo para la comunicación segura entre dos ordenadores (un cliente y un servidor). S-HTTP son las siglas de Secure HyperText Transfer Protocol, y su objetivo es similar. La diferencia entre ambos es que S-HTTP solamente sirve para el web, mientras que SSL sirve para cualquier comunicación. Cuando nuestro navegador utiliza alguno de estos sistemas seguros, suele indicarlo mediante algún icono en la barra de estado, o mediante alguna ventana de aviso.
Todas las comunicaciones de Internet funcionan mediante el protocolo TCP/IP, que teóricamente solo sirve para garantizar la comunicación más simple entre dos ordenadores. Sobre ese protocolo básico funcionan otros protocolos destinados a tareas específicas. Por ejemplo, están los protocolos HTTP (para la transmisión de páginas web), FTP (para la transmisión de ficheros), SMTP (para el envío de mensajes de correo-e), etc.
S-HTTP sustituye al protocolo HTTP (web), si el cliente y el servidor están preparados para utilizar ese nivel de seguridad. En cambio, SSL puede ser utilizado como un intermediario entre el TCP/IP (el protocolo básico de comunicaciones) y cualquier otro protocolo (por ejemplo, el HTTP) para añadir la seguridad a cualquier tipo de comunicación entre un cliente y un servidor.
El diseño general de Internet fue originariamente concebido para operaciones rutinarias y que no requieren niveles significativos de seguridad y privacidad. Al principio, el propio hecho de transmitir información entre dos ordenadores (distintos, y que además pudieran estar configurados de formas muy diversas) ya era un problema difícil de superar. No estaban las cosas lo suficientemente maduras como para plantearse retos de mayor envergadura.
Luego, sobre esa base se han añadido algunos parches para añadir mecanismos que aporten la seguridad y la privacidad necesarias en operaciones críticas, como por ejemplo el acceso remoto a la cuenta bancaria, o la transmisión del número de tarjeta en las compras que hacemos en el web. Ese es el objetivo de nuevos protocolos como SSL y HTTP. Sin embargo, no hay que olvidar que estos nuevos protocolos funcionan sobre una base tecnológica más antigua y endeble. En informática, esto de los "parches" nunca ha sido considerado como una solución óptima, pero en el caso de Internet se ha considerado preferible hacerlo así para mantener la compatibilidad y no tener que cambiar toda la red, porque eso sería demasiado complicado y costoso.
El resultado es que ocasionalmente, por una razón u otra, la seguridad teórica aportada por estos protocolos no funciona. Esto provoca una especie de "escándalo" tecnológico, porque descubre un fallo grave en una situación que hasta ese momento nos habían dicho que era totalmente fiable. Como ejemplo, el caso reciente de un usuario que logró "robar" un banco utilizando una herramienta tan simple como un navegador popular. Ese navegador tenía un fallo de diseño, que hasta ese momento no había sido detectado.
La conclusión es que no debemos alarmarnos, pues cualquier tecnología está expuesta a que se descubra algún fallo en su diseño, y esos fallos suelen ser corregidos con prontitud. Pero tampoco debemos aceptar a ciegas las promesas de seguridad y fiabilidad absolutas que suelen hacernos las empresas que promueven y utilizan este tipo de tecnologías. Los cajeros automáticos o los aviones también fallan alguna vez, y no por eso dejamos de utilizarlos.
