Metodologías y herramientas innovadoras para elevar la seguridad en la web
Son pocas las guías o herramientas automáticas apropiadas para diseñar o analizar propiedades de seguridad. La falta de uniformidad de las metodologías y herramientas creadas para analizar protocolos de seguridad a través de su diseño impide la detección temprana y la prevención de las vulnerabilidades de seguridad, y dificulta enormemente el análisis exhaustivo de estos protocolos. Además, las herramientas de verificación avanzadas solamente abordan aspectos limitados de la seguridad de un protocolo y requieren un conocimiento especializado que los diseñadores de protocolos convencionales no poseen. El proyecto END2ENDSECURITY (Practical design and analysis of certifiably secure protocols – Theory and tools for end-to-end security), financiado por la Unión Europea, tenía por finalidad garantizar una seguridad de extremo a extremo aportando soluciones capaces de concebir automáticamente protocolos y programas de seguridad basados en especificaciones de alto nivel de requisitos de seguridad y tareas de protocolo escogidos. Para alcanzar sus objetivos, END2ENDSECURITY creó varias metodologías y herramientas generales, las más destacadas, técnicas de verificación dinámica para dispositivos móviles, un sistema de publicidad conductual en Internet (PCI) que favorece la privacidad y protocolos criptográficos. AppGuard permite a los usuarios implantar políticas de seguridad y privacidad en aplicaciones de terceros utilizando la supervisión de referencia en línea. De este modo, limita la propagación de vulnerabilidades a aplicaciones y al sistema operativo de terceros. La aplicación desarrollada está disponible para todo el mundo y ya se ha descargado más de medio millón de veces. ObliviAd se diseñó para utilizarse como una arquitectura práctica y segura para PCI, lo que implica el seguimiento de las actividades de los usuarios en Internet para generar anuncios personalizados. Usa un sistema seguro de recuperación de información privada mediante hardware para difundir anuncios y una combinación de alta latencia de tokens electrónicos para facturar a los anunciantes sin revelar los datos del cliente a los agentes de publicidad. ObliviAd es una opción rentable para los agentes de publicidad que mantiene la precisión a la hora de seleccionar los anuncios. Asimismo, se creó un marco general para desarrollar y verificar pruebas criptográficas. Los frutos de este proyecto se presentaron en congresos de gran relevancia y se publicaron en las revistas más prestigiosas. Los sistemas informáticos reciben ataques constantes y, aparentemente, no están bien dotados para hacer frente a distintas vulnerabilidades de seguridad. Gracias al proyecto END2ENDSECURITY, las nuevas metodologías y herramientas automatizadas y fáciles de usar deberían aportar un alto nivel de seguridad.
Palabras clave
Protocolos de seguridad, vulnerabilidades de seguridad, END2ENDSECURITY, aplicaciones de terceros