Smart cards: Incremento de la seguridad con problemas de acceso remoto El uso de tarjetas inteligentes en sectores críticos se está disparando, pero NetSupport Manager es el único software de control remoto que soporta completamente esta tecnología. Introducción Cada vez hay un mayor nivel de concienciación social acerca de la seguridad de la información, puesto que cada vez más empresas almacenan en su red datos altamente confidenciales. Además, las empresas están usando Internet para extender sus redes corporativas más allá de sus firewalls para acercarse a clientes y proveedores. Todo ello está obligando a extremar las medidas contra accesos no autorizados. Una forma de hacerlo es aumentando el nivel de seguridad al iniciar sesión entregando smart cards a los usuarios. La adopción de tecnología smart card se ha notado más en los sectores que, por la naturaleza misma de los datos que manejan, tienen que tomar mayores medidas de protección. Entre estos sectores destacan la banca, el sector financiero y el sanitario. La empresa NetSupport ha reconocido la necesidad de los administradores de sistemas, personal de soporte técnico y trabajadores remotos de disponer de software de acceso remoto que pueda aceptar autenticación remota con smart card. Así pues, cualquier login realizado desde el PC control es redirigido y aplicado al PC cliente. Gracias a esta mejora, NetSupport Manager se convierte en el primer software de control remoto con soporte completo para autenticación con smart card, no sólo para acceder a un PC, sino para iniciar sesión. ¿Qué es una Smart Card? Una smart card o tarjeta inteligente es una pequeña tarjeta del tamaño de una tarjeta de crédito que incorpora un chip electrónico en vez de la tira magnética de las tarjetas de crédito tradicionales. De hecho, una smart card es un pequeño ordenador imposible de manipular. La misma smart card contiene un CPU y capacidad de almacenamiento no editable. En la mayoría de casos, parte del almacenamiento es no manipulable, mientras que el resto es accesible para cualquier aplicación que pueda hablar con la tarjeta. De esta forma, la tarjeta puede contener datos secretos, certificados digitales o claves privadas asociadas a ellos. La tarjeta lleva a cabo por sí misma sus propias operaciones criptográficas. Usar smart cards en la autenticación Una vez se ha desplegado el soporte para tarjetas inteligentes, son relativamente fáciles de usar para que los clientes se autentiquen al iniciar sesión. Para ello se deberá hacer: > Instalar un lector de tarjetas inteligentes en el equipo cliente > Otorgar un certificado de autenticación a los usuarios > Asignar smart cards para el inicio de sesión de los usuarios > Conectarse mediante la smart card > Instituir políticas para el uso de las tarjetas inteligentes Smart cards: Incremento de la seguridad con problemas de acceso remoto ¿Por qué usar Smart Cards? Microsoft considera que el uso de tarjetas inteligentes es la forma de autenticación más fuerte para Windows, al combinar el uso de algo físico (la tarjeta inteligente) con información confidencial (la clave de acceso personal o PIN) para proporcionar lo que se conoce como “autenticación de factor doble”. Las razones por que las empresas implementan smart cards son: > Proporcionar almacenaje a prueba de falsificaciones e inmanipulable de cara a proteger las claves privadas y demás información personal contenida > Computación aislada, de seguridad crítica, para la autenticación, firma digital e intercambios de claves con otras partes del sistema > Posibilita la portabilidad de credenciales y otra información privada entre ordenadores. Por ejemplo, en el caso de usuarios que se conecten en el trabajo y en casa, o para trabajadores móviles. En los próximos lanzamientos del sistema operativo Windows, cada vez habrá mayor integración para tarjetas inteligentes, de forma que cualquier operación que actualmente precisa de contraseña se pueda llevar a cabo con smart card. Aumento de protección Los ordenadores corporativos normalmente se configuran para requerir alguna forma que otra de autenticación al conectarse. El uso de contraseña, la manera más ampliamente usada para iniciar sesión, sólo es tan infalible como los usuarios, que muy a menudo comparten sus passwords con amigos, compañeros de trabajo o pareja. Incluso el usuario más concienciado puede acabar escribiendo su clave de acceso en un papelito para que otro usuario lo descubra. En definitiva, si cada usuario no mantiene secreto su password, la red puede verse sometida al uso concurrente de una cuenta de usuario o, lo que es peor, verse desprotegida frente a irrupciones malintencionadas. Por ello, el uso de tarjetas inteligentes ofrece una serie de ventajas: > Seguridad multicapas: Un usuario no autorizado no puede iniciar sesión con las credenciales de otra persona con sólo saberse su password: tiene que utilizar una tarjeta física para poder hacerlo (es lo que se llama "prueba de posesión"). Además, también tendrá que saber el identificador personal (PIN) asignado a la tarjeta inteligente, que automáticamente se bloqueará al cabo de un número terminado de intentos fallidos de introducir el PIN. > Se pueden buscar PINs fáciles de recordar sin comprometer la seguridad. Al contrario que una simple contraseña, los PINs no ofrecen un gran riesgo, ya que cualquier intruso tendría que tomar el control físico de la tarjeta para poder aprovecharse. > Un 'packet sniffer' no puede interceptar PINs a través de la red, puesto que nunca se transmiten > Una smart card sólo puede ser usada por una persona a la vez, haciendo imposible su uso concurrente. Al requerirse una tarjeta para acceder a la red, los usuarios se inclinan por llevar la tarjeta encima adondequiera que vayan, lo que previene contra irrupciones malintencionadas. > Las tarjetas inteligentes están diseñadas para resistir a intentos de falsificación o manipulación > Al igual que una tarjeta de débito o crédito, si se pierde o roban una smart card, se puede usar un número de teléfono para cancelarla y activar la emisión de una nueva. Pero a diferencia de las tarjetas de débito o crédito, las tarjetas inteligentes se pueden emitir al momento. > La tarjeta es portátil y fácil de llevar encima. Se puede usar para llevar credenciales de un ordenador a otro (como por ejemplo del puesto de trabajo de la oficina al portátil que el usuario tiene en casa) > También es posible configurar las tarjetas inteligentes para conexiones remotas (dial-up o VPNs) mediante el protocolo EAP (Extensible Authenticaton Protocol). Smart cards: Incremento de la seguridad con problemas de acceso remoto Como usan los criptoalgoritmos más seguros -RSA, DES, 3DES, AES y SHA- y se crean con los chips más fiables, las tarjetas inteligentes son virtualmente inviolables. Iniciar sesión con una smart card ofrece una forma fuerte de autenticación porque usa identificación basada en criptografía y prueba de posesión al autenticar un usuario a un dominio. Se recomienda que también se asignen tarjetas inteligentes en vez de contraseñas a los usuarios que no realicen tareas avanzadas (como podrían ser tales como añadir ordenadores a dominios o promocionar servidores en controladores de dominios). Esta categoría de usuarios debería representar la inmensa mayoría de los empleados, incluyendo no sólo a empleados convencionales, sino también a todo tipo de profesionales, proveedores, externos y a cualquiera que no esté autorizado a administrar un ordenador o la red. ¿Quién utiliza tarjetas inteligentes? Los gobiernos de los principales países del mundo están empezando a implementar políticas para promocionar el uso de tarjetas inteligentes. España es uno de los países que ha apostado más decididamente, principalmente con 3 iniciativas: 1 El DNI electrónico (DNIe). En estos momentos, la gran mayoría de ciudadanos que tienen que renovar o hacerse el carné de identidad reciben ya el nuevo DNIe, que no es más que una tarjeta inteligente. El nuevo DNI incorpora un chip con los algoritmos de seguridad, Del tamaño de una tarjeta de crédito, una smart card incorpora un chip con claves secretas para autentificar a su portador y se asigna un PIN secreto a cada usuario, para que pueda realizar con total seguridad todas las transacciones con las administraciones públicas o cualquier trámite por internet (ya sea con el gobierno, su ayuntamiento o, p. ej., comprar un viaje online) 2 La Administración Electrónica. En toda la Unión Europea están en marcha iniciativas de administración electrónica para facilitar el contacto de los ciudadanos con las administraciones públicas. España es el país donde la iniciativa está en un estado más avanzado. De hecho, para el año 2009 todos los trámites con cualquier Administración Pública que, por su naturaleza específica no deban de hacerse presencialmente, tendrán que estar disponibles por internet. Para asegurar la confidencialidad de los datos y los trámites, se necesitará utilizar certificados digitales o el DNIe. La otra cara de la moneda es que todos los usuarios de las Administraciones Públicas deberán identificarse y acceder a su ordenador mediante smart card. 3 La tarjeta sanitaria. Los datos sanitarios son de los que mayor nivel de protección requieren. La LOPD obliga a extremar su protección. Algunas comunidades autónomas, como Andalucía, son pioneras en dotar a todos los ciudadanos de tarjetas sanitarias con chip incorporado. Funcionan como smart cards, ya que no sólo almacenan información confidencial del usuario, como su historial médico, sino que sirven para autenticarle cada vez que va al médico o compra algún medicamento con receta en una farmacia. También en EEUU se han aprobado directivas según las cuales todas las agencias federales están obligadas a implementar acceso mediante tarjeta inteligente para acceder a los sistemas de información del gobierno. Finalmente, como ya hemos señalado al principio, su uso se está extendiendo también en todos los sectores donde se maneja información altamente valiosa, confidencial o que requiera un alto nivel de protección, como las instituciones financieras y bancarias, o en el sector sanitario. A nivel europeo, cada vez más bancos o mutuas están cambiando sus sistemas de autenticación para obligar a todos sus usuarios a usar tarjetas inteligentes. Smart cards: Incremento de la seguridad con problemas de acceso remoto ¿Qué complicaciones suponen las tarjetas inteligentes para los administradores de sistemas? Debido a la falta de herramientas de administración remota que proporcionen acceso remoto mediante smart card, su implementación restringe enormemente la capacidad de acción de los administradores para realizar tareas de administración remota en estos nuevos entornos. Por eso, con el lanzamiento de la última versión del software de control remoto NetSupport Manager 10.3, NetSupport, empresa pionera en el desarrollo de aplicaciones para gestionar redes informáticas permite a administradores de sistemas, personal de soporte técnico y usuarios remotos autentificarse remotamente a una equipo por smart card. De esta forma, cualquier login desde el PC control es redirigido y aplicado al PC cliente. Gracias a esta mejora, NetSupport Manager se ha convertido en el primer software de acceso remoto con soporte completo para autenticación remota por smart card, no sólo para acceder a un PC, sino también para iniciar una sesión. Hay otras herramientas de administración remota que afirman ser capaces de autenticar remotamente a usuarios por medio de smart card. Pero NetSupport Manager permite no sólo autenticarse remotamente por esta vía, sino que también permite realizar logins interactivos con la tarjeta inteligente. Esto significa que los usuarios de NetSupport Manager pueden iniciar sesión en los equipos remotos, desde su escritorio, identificándose mediante su PIN, al igual que si estuvieran en la consola del equipo remoto. La autenticación remota por smart card y el login interactivo de NetSupport Manager no requieren ningún tipo de middleware. Ni tan siquiera es necesario que el equipo remoto tenga un lector de tarjetas inteligentes conectado. > Obtener más información de NetSupport Manager > Descargar una versión de evaluación de NetSupport Manager A través del DNI electrónico, la nueva administración electrónica y la tarjeta sanitaria, España ha sido uno de los países que más ha apostado por las smart cards. Administradores de sistemas, personal de soporte técnico y usuarios remotos pueden autentificarse remotamente a una equipo por smart card con NetSupport Manager