Durante los últimos 20 años, Secure Sockets Layer (SSL) se ha utilizado en todo el mundo para cifrar datos entre dos terminales. Se convirtió en el protocolo de cifrado más utilizado a pesar de las numerosas vulnerabilidades de seguridad expuestas. En PCI DSS v3.1 (publicado en abril de 2015), se eliminó SSL/ Early TLS (Transport Layer Security) como ejemplo de criptografía fuerte y no puede utilizarse como control de seguridad para cumplir ningún requisito de PCI DSS después del 30 de junio de 2018. . Aquí le explicamos cómo puede prepararse para el plazo de migración y proteger sus datos de acuerdo con el Estándar de Seguridad de Datos PCI (PCI DSS)..
SSL fue lanzado por primera vez en 1995 para proteger la comunicación entre un cliente y un servidor en una red desprotegida como Internet. En 1999 SSL v3.0 fue reemplazado por TLS 1.0 y posteriormente actualizado a v1.1 y 1.2. Los protocolos encriptan la comunicación entre dos partes asegurando que la información sensible como nombres de usuario, contraseñas y números de tarjetas de crédito no sean expuestos a terceros y que nadie pueda leerla o manipularla.
Debido al uso generalizado, los hackers atacaron el SSL/Early TLS y se han encontrado muchas vulnerabilidades graves en los últimos 20 años. Esto llevó a que SSL/Early TLS fuera inseguro para proteger la información confidencial.
La vulnerabilidad CVE-2014-3566, conocida con el nombre de P.O.O.D.L.E. (Padding Oracle OnDowngradedLegacyEncryption), si se explota correctamente, puede exponer datos cifrados entre un cliente compatible con SSL v3.0 y un servidor compatible con SSL v3.0. Es una vulnerabilidad del propio protocolo y no de una implementación específica del mismo, lo que básicamente significa que toda implementación de SSL v3.0 sufre de ella y no puede ser corregida. En el contexto de una plataforma de pago o de cualquier otro modelo de negocio en el que los datos del titular de la tarjeta se transmiten a través de SSL, es alarmante y podría dar lugar a la exposición de los datos del titular de la tarjeta.
El PCI Council introdujo el término en PCI DSS v3.1 refiriéndose a las implementaciones tempranas de TLS que contienen vulnerabilidades a nivel de protocolo. El término, sin embargo, no se refiere a ninguna versión en particular de TLS, sino que incluye cualquier versión o implementación del protocolo que sea vulnerable. Las organizaciones tienen que actualizar TLS a la última versión publicada continuamente para afrontar las amenazas que evolucionan. Las empresas deben mantenerse al día con los exploits y si su versión actual del protocolo podría ser susceptible a ellos.
Después del 30 de junio de 2018, SSL y early TLS ya no son ejemplos de criptografía fuerte o de protocolos seguros. En su suplemento de información, el Consejo PCI establece que después de la fecha de migración todas las empresas deben utilizar únicamente versiones seguras del protocolo. Además, antes del 30 de junio, las organizaciones deben contar con un Plan de Migración y Mitigación de Riesgos formal. Este documento es necesario para describir el plan de migración a un protocolo seguro y la forma en que la empresa reducirá el riesgo asociado con SSL/Early TLS hasta que se complete la migración.
Puede encontrar más información sobre por qué es necesaria la migración y cómo las organizaciones pueden utilizarla en esta entrevista con el Director Principal de Normas de Seguridad de Datos de PCI SSC aquí. En Advantio, entendemos que este proceso de migración y el tiempo límite pueden crear una variedad de problemas. Siempre puede ponerse en contacto con nuestro equipo para obtener más información o ayuda con la migración SSL/Early TLS.