DANE como base para la transmisión de datos segura

2 agosto, 2019
19 Compartido 2,298 Visualizaciones

DANE con DNSSEC garantiza que su correo electrónico llegue de manera segura y a la persona adecuada.

En Alemania hay un dicho que dice que la vida es mucho más fácil cuando ya no tienes una buena reputación que perder. Para individuos privados, eso puede aplicarse al menos parcialmente. Sin embargo, las compañías de pedidos por correo, los proveedores de servicios o la industria bancaria viven en gran parte de su buena reputación y, por lo tanto, también están ansiosos por mantener o mejorar su buena imagen en Internet. Pero si los clientes son víctimas de un llamado ataque «man in the middle  (hombre en el medio)«, la buena reputación desaparece rápidamente. En un ataque de “man in the middle”, el atacante se coloca entre el cliente y el proveedor y pretende ser el proveedor. Tal ataque también es posible en la dirección contraria.

Para ilustrar, aquí hay un ejemplo: supongamos que usted es un comerciante de pedidos por correo en línea y envía automáticamente correos de transacciones, como facturas y confirmaciones de pedidos. Ahora estos se pasan a manos de un «man in the middle«. La factura nunca llega a su cliente y usted ni siquiera lo nota. Por supuesto, tampoco recibe dinero porque el cliente no ha recibido una factura. ¿Que pasa? Usted envía un recordatorio. Un recordatorio sin una factura previa causa molestia y pérdida de confianza en el cliente: desde una perspectiva de marketing, un desastre.

Pero las cosas pueden empeorar aún más: si se produce un ataque con exito, los datos confidenciales de su cliente, como la dirección, los datos bancarios y los hábitos de compra, llegarán a manos de personas no autorizadas. Para las compañías de seguros, las compañías de seguros de salud, los bancos o incluso los sitios de citas, esto problema es particularmente grave, ya que aquí los datos de los clientes son altamente sensibles.

Consecuencias sensibles

La protección de los datos de sus clientes es una prioridad principal no solo para usted, sino también para el proveedor de servicios de correo electrónico que hace envios en nombre de Usted. El artículo 33 del Reglamento Europeo de Protección de Datos General (GDPR) estipula lo que sucede cuando se produce una violación de datos personales: en este caso, el responsable (aquí la empresa de comercialización) debe comunicar la violación de la protección de datos a la autoridad de supervisión (a Autoridades Estatales de Protección de Datos) y además, debe informar a la persona sobre la infracción cuyos datos están en juego, en las condiciones del Artículo 34 GDPR.

Entonces, no solo su reputación está en peligro, esto también conlleva consecuencias financieras. Si la persona o el proveedor encargado por Usted (en este caso el proveedor de servicios de correo electrónico) cometa una infracción de datos personales de conformidad con el artículo 58 del GDPR, los supervisores harán valer sus poderes de investigación, corrección y sanción a la (s) persona (s) responsable (s) de la infracción de datos personales. En el peor de los casos, esto puede incluso resultar en una prohibición final sobre el procesamiento de dichos datos, lo que en efecto significa una prohibición de hacer negocios. Addicionalmente, o alternativamente, de acuerdo con el artículo 83 GDPR, se sancionan con multas sustanciales de hasta 20 millones de euros o el 4% de la facturación anual total. El ejemplo más reciente es que la British Data Protection Authority (ICO) impuso una multa de 205 millones de euros a British Airways después de que extraños hubieran accedido a los datos de los clientes de la aerolínea.

El hecho es que: no es suficiente asegurar su propio servidor de la mejor manera posible, debido a que un “man in the middle” puede utilizar el punto débil en el transporte de un correo electrónico de A a B. Para cumplir con los requisitos del Artículo 5, párrafo 1 f, y para garantizar la seguridad adecuada de los datos personales, debe proteger los datos confidenciales de los clientes mediante DNSSEC y DANE.

¿Qué son DNSSEC y DANE?

DANE (Autenticación basada en DNS de entidades con nombre) es un método de prueba que asegura el establecimiento de una conexión cifrada entre un cliente y un servidor. A través de una sincronización de certificados (registro TLSA), los socios de comunicación que utilizan DANE bloquean la debilidad conceptual de SSL / TLS, donde un tercero podría pretender ser el «servidor correcto» y hacer que el cliente transfiera sus datos al «error correcto«. El requisito previo para el uso de DANE es Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC), que garantiza que las características de prueba transmitidas por DNS son verificables. Porque incluso aquí, los atacantes podrían inyectar información falsa en el DNS y llevar al cliente al error.

Y así es como funciona:

¿Cómo es un transporte de correo típico con DANE? Si es así, usted, como minorista en línea, envía un correo electrónico a un cliente con una cuenta de correo electrónico en example. Entonces se ve así:

  • Su servidor de correo determina el servidor de correo responsable del dominio del destinatario. También verifica si el servidor DNS ofrece el dominio receptor DNSSEC.
    • Si el servidor DNS ofrece DNSSEC, su servidor de correo comprueba si hay un registro TLSA para el dominio del destinatario.
    • Luego, su servidor de correo establece una conexión con el servidor de correo del dominio del destinatario. Si esto no proporciona STARTTLS para el cifrado de la conexión, su servidor de correo se cancela de inmediato, ya que existe la sospecha de un ataque degradado en la sala.
    • Si el servidor de destino ofrece STARTTLS, su servidor de correo inicia una conexión cifrada TLS. Al hacerlo, compara la suma de comprobación del certificado del servidor de destino con la información de TLSA que recibió a través de DNSSEC.
    • Si los totales coinciden, se verifica el servidor de destino. Si los totales no coinciden, un cliente habilitado para DANE abortará inmediatamente debido a un presunto ataque «man in the middle «. Los clientes tradicionales ahora continúan enviando información confiada y enviando datos a un destino que no es de confianza.

Hasta ahora, tan seguro. Para que DANE funcione con DNSSEC, tanto DANE como DNSSEC deben configurarse en el servidor de correo del comerciante en línea. Si se utiliza un proveedor de servicios de correo electrónico para el envío, la plataforma de correo debe extenderse para que las consultas de DNS también verifiquen la funcionalidad de DNSSEC y utilicen sus capacidades de verificación.

Los fundamentos se han dado desde hace mucho tiempo. «DNSSEC es un proceso maduro que se ha mantenido estable durante años«, dice Patrick Koetter (líder del grupo de competencia de los grupos «Anti-Abuse» y «e-mail» de eco – Verband der Internetetwirtschaft e.V.). «La experiencia práctica en grandes plataformas y mediciones de ISP muestra que las preocupaciones de algunos administradores son técnicamente insostenibles«.

Teniendo en cuenta las consecuencias financieras y la pérdida de reputación que puede conllevar un ataque de baja calificación y / o un ataque «man in the middle», vale la pena el esfuerzo de una sola vez para activar DANE y DNSSEC. Proporcionan la única forma automatizada y rentable de asegurar una transferencia de datos verdaderamente segura entre los servidores de correo electrónico.

Te podría interesar

La biometría basada en IA contra el fraude
Inteligencia Artificial
18 compartido2,287 visualizaciones
Inteligencia Artificial
18 compartido2,287 visualizaciones

La biometría basada en IA contra el fraude

Mónica Gallego - 24 abril, 2019

Algunos de los bancos más grandes del mundo, telcos y retailers previenen el fraude y mejoran la experiencia de sus clientes con tecnología de biometría basada en…

La tecnología transforma la relación médico-paciente en el Digital Health Forum
BD Network
19 compartido2,181 visualizaciones
BD Network
19 compartido2,181 visualizaciones

La tecnología transforma la relación médico-paciente en el Digital Health Forum

Mónica Gallego - 16 mayo, 2019

Personalización, control y seguridad son las principales demandas de los pacientes en el sector sanitario, según las predicciones elaboradoras por IDC. La atención sanitaria, la relación médico-paciente…

G+D Mobile Security simplifica la gestión de la conectividad en las empresas con su nuevo servicio eDES para la habilitación eSIM de dispositivos
Internet of Things
18 compartido2,081 visualizaciones
Internet of Things
18 compartido2,081 visualizaciones

G+D Mobile Security simplifica la gestión de la conectividad en las empresas con su nuevo servicio eDES para la habilitación eSIM de dispositivos

Mónica Gallego - 26 febrero, 2019

Giesecke+Devrient Mobile Security ha lanzado en el MWC 2019 su nuevo Servicio de Habilitación eSIM de Dispositivos (eDES), una solución integral que se dirige tanto a operadores…

Dejar comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.