SSL/TLS
¿Qué es SSL? Definición y concepto
SSL (Secure Sockets Layer) es un protocolo criptográfico que cifra la comunicación entre un navegador y un servidor web para proteger los datos transmitidos. Desarrollado por Netscape en los años noventa, fue el primer estándar que permitió enviar información sensible por internet sin que un tercero la interceptara.
Hoy, SSL está técnicamente obsoleto. Su sucesor, TLS (Transport Layer Security), lo reemplazó en 1999 con algoritmos más robustos. Aun así, el término SSL sigue siendo el más utilizado en el sector para referirse a la capa de cifrado que activa el protocolo HTTPS y muestra el candado en la barra de direcciones.
El estándar PCI DSS v4.0 prohíbe el uso de SSL y versiones tempranas de TLS como control de seguridad, salvo en conexiones de terminales POS POI verificadas como no vulnerables.
Cómo funciona SSL en una página web
La conexión segura se establece mediante un proceso llamado handshake:
- El navegador solicita al servidor su identidad.
- El servidor responde con su certificado SSL, que incluye la clave pública y los datos de la autoridad certificadora (CA) emisora.
- El navegador verifica que el certificado sea válido, no esté revocado y proceda de una CA de confianza.
- Si todo es correcto, el navegador genera una clave de sesión, la cifra con la clave pública del servidor y la envía.
- El servidor la descifra con su clave privada y se inicia la sesión cifrada.
- Desde ese momento, todos los datos viajan protegidos mediante cifrado de extremo a extremo simétrico.
Impacto normativo y seguridad aplicable del SSL
El Requisito 4 de PCI DSS v4.0 exige que los datos PAN se protejan con criptografía sólida durante su transmisión por redes públicas, aceptando solo certificados verificables y no revocados.
La Directiva PSD2 y las RTS de la EBA sobre SCA obligan a los proveedores de servicios de pago a proteger la confidencialidad de las credenciales del usuario en cada comunicación.
Cualquier ecommerce que procese pagos con tarjeta necesita un certificado SSL válido (TLS 1.2 o superior) para cumplir estas exigencias y evitar que los navegadores marquen el sitio como "No seguro".
Vulnerabilidades que rompieron SSL
Varios ataques demostraron las debilidades de SSL y aceleraron la migración a TLS:
| Ataque | Año | Qué explotaba |
|---|---|---|
| BEAST | 2011 | Fallo en el modo CBC de SSL 3.0 y TLS 1.0 para descifrar sesiones |
| Heartbleed | 2014 | Error en OpenSSL que filtraba hasta 64 KB de memoria del servidor |
| POODLE | 2014 | Degradación forzada a SSL 3.0 para explotar su esquema de relleno |
| DROWN | 2016 | Servidores con SSLv2 activo permitían romper conexiones TLS modernas |
Heartbleed llegó a afectar al 17 % de los servidores web con soporte SSL en todo el mundo, exponiendo claves privadas y datos de millones de usuarios.
Ventajas y desventajas operativas del certificado SSL/TLS
Ventajas de un certificado SSL/TLS actualizado:
- Protege datos de tarjeta y credenciales en tránsito frente a interceptación.
- Cumple con PCI DSS y PSD2 en materia de transmisión segura.
- Mejora la confianza del comprador al mostrar HTTPS y el candado.
- Google utiliza HTTPS como señal de posicionamiento SEO.
Desventajas operativas:
- Un certificado caducado genera alertas que destruyen la conversión del checkout.
- Protocolos obsoletos (SSL 3.0, TLS 1.0) dan falsa sensación de seguridad.
- Requiere mantenimiento continuo: renovación, monitorización de revocaciones y actualización criptográfica.
Fuentes y lecturas relacionadas
- PCI DSS v4.0, Requisito 4 y Anexo A2 (PCI Security Standards Council, 2022).
- Qué es PCI DSS y por qué tu ecommerce debe cumplirlo.
- Cómo funciona la autenticación reforzada (SCA) en pagos digitales.
- Tokenización en la Adquirencia: Dejar de "Proteger" la Tarjeta para Empezar a Rentabilizar el Dato - Artículo LinkedIn
- Tu botiquín de ciberseguridad para PYMES: 4 claves 🚑🔐- YouTube