El Mutual Transport Layer Security requiere autenticación tanto para el cliente como para el servidor cuando se establece una conexión. Hace más seguras las llamadas API y se puede implementar también para conexiones móviles.
No siempre es fácil orientarse en los entresijos de la ciberseguridad, considerando que todas las tecnologías aparentemente sólidas son desafiadas con el tiempo. Esto ha sucedido con la autenticación de múltiples factores, con los servidores DNS, con las conexiones protegidas, y también ha ocurrido incluso con proveedores altamente calificados.
Permanecer un paso adelante de los ciberdelincuentes se vuelve más difícil, pero eso no significa que no haya métodos para dificultar el camino de sus ofensivas. Entre las tecnologías útiles se destaca el mTLS (Mutual Transfer Layer Security), que a menudo se encuentra dentro de las lógicas de Confianza Cero.
Así es cómo funciona, qué beneficios trae consigo y por qué es recomendable implementarlo.
¿Qué es el mTLS?
La expresión “mutual-TLS” se refiere al proceso durante la negociación de TLS en el cual, además de la autenticación normal del servidor mediante un certificado TLS, el cliente presenta su propio certificado X.509 (certificado del cliente) y demuestra al servidor la posesión de la clave privada correspondiente a ese certificado.
Para entender mejor qué es el mTLS, es útil hacer una breve incursión en el Protocolo de Capa de Transferencia (Transfer Layer Protocol o TLS), un protocolo de comunicación ampliamente utilizado que autentica al servidor en una conexión cifrada con un cliente para que terceros no puedan espiar el contenido de la comunicación misma.
El TLS utiliza una clave pública y una privada. Todo lo que se cifra con la clave pública solo puede descifrarse con la clave privada, de modo que un servidor que descifra un mensaje con la clave pública demuestra tener la clave privada. La clave pública está efectivamente contenida en el certificado TLS del servidor o del dominio, un archivo que contiene información de verificación emitida por una autoridad de certificación y que está sujeto a una fecha de vencimiento.
Sin embargo, el TLS funciona de manera unidireccional: el servidor presenta el certificado digital, pero el cliente no está obligado a hacerlo, y aquí es donde entra en juego el Mutual Transport Layer Security (mTLS).
Cómo Funciona el mTLS
https://github.com/smallstep/autocert/blob/master/examples/hello-mtls/README.mdAntes de establecer una conexión, dos máquinas intercambian una serie de información, como reglas, velocidad y cifrado. Esta fase, llamada handshake, es cuando las máquinas se presentan mutuamente sus identificadores digitales, intercambiando efectivamente las claves para abrir el candado de autenticación.
Las diferencias sustanciales entre TLS y mTLS son entonces:
| Función | TLS | mTLS |
|---|---|---|
| Autenticación | Solo servidor | Servidor y cliente |
| Cifrado | Sí | Sí |
| Usos típicos | Web, correo | API, Intranet, IoT |
| Complejidad | Moderada | Alta |
Lo que sucede, de hecho, es que ambas máquinas durante el handshake demuestran ser lo que dicen ser.
No es una simple autenticación doble, porque implica un riesgo mucho menor de intercepción de datos por parte de terceros y permite personalizar las autorizaciones. De hecho, al establecer políticas para determinar qué máquina puede acceder a qué recurso, es posible realizar un seguimiento de los accesos que, limitados exclusivamente a las máquinas autorizadas, reducen la superficie de acción de los ciberatacantes.
En resumen, mTLS es un enfoque bidireccional que se adapta bien a las necesidades de ciberseguridad actuales.
En qué Ámbitos es Necesario
La respuesta más directa es “todos”; en algunos casos, mTLS no debería ser considerado como una opción, sino como una necesidad.
Cuando se trata de API, por ejemplo, se trata de un tema vulnerable porque, como hemos mencionado aquí, se está operando en un terreno especialmente propicio para los ciberdelincuentes. Las API están en todas partes, son la columna vertebral de la web y las aplicaciones, y al implementar el mTLS, todas las máquinas involucradas en el tráfico de datos deben autenticarse.
Otro sector en el que el mTLS encuentra una aplicación sólida es el financiero, donde incluso una sola transacción objeto de un ataque cibernético puede comprometer la confianza de los clientes y los mercados. El acceso controlado que reduce la posibilidad de suplantación de identidad es de vital importancia.
En el ámbito de la salud, el mTLS cumple con todas las normas de privacidad y ofrece un nivel de seguridad superior, garantizando, por ejemplo, que los expedientes médicos solo sean accesibles desde dispositivos autorizados, incluso teniendo en cuenta los dispositivos IoT.
Permaneciendo en el ámbito del Internet de las cosas, el mTLS también beneficia a todos esos dispositivos conectados entre sí que ofrecen oportunidades a los hackers. Al autorizar mutuamente la comunicación de un número finito y preciso de dispositivos, se reducen tanto el número como el tamaño de las ventanas por las cuales los ciberdelincuentes pueden ingresar.
Luego está el amplio capítulo del trabajo inteligente (Smart working), que permite a las empresas estar seguras de las conexiones entrantes, posibles solo para los empleados autorizados. Por último, la implementación del mTLS también es un activo para la Administración Pública, con un énfasis particular en las entidades gubernamentales y militares.
