Irene Olaizola Casín,
Directora en Minsait
-
La seguridad en las comunicaciones con los bancos es una de esas cosas que cualquier financiero y tesorero de empresa querría dar por hecho y por eso habitualmente todos confiamos en los canales que los bancos ponen a disposición de las empresas sin pensarlo dos veces. En Minsait sabemos de comunicaciones seguras con los bancos porque llevamos más de 30 años desarrollando y manteniendo uno de los protocolos para comunicación bancaria más utilizados en España: Editran. Por eso, en estos tiempos en los que nada se puede dar ya por descontado, desde Minsait, nos gusta redactar artículos divulgativos como este para ayudar a que los tesoreros y financieros de empresas más inquietos podáis ampliar conocimiento de forma sencilla y sentiros más cómodos cuando el banco os hable de terminologías complejas de conexión que no tendríais por qué conocer a priori.
Sabemos que os interesa, porque cada publicación de este tipo que realizamos recibe más de mil visualizaciones y se convierte en una de las más vistas en ASSET.
Leer aquí→ Hace dos años explicamos con mucho detalle todo lo relacionado con la criptografía
Leer aquí→ El año pasado publicamos otro específico sobre la firma electrónica
Este año, creemos que puede ser interesante que entendáis mejor qué son los protocolos de comunicación con los bancos para que sepáis elegir el adecuado.
Como en anteriores ocasiones, hemos escrito con intención de ser didácticos más que exhaustivos, y esperamos que nos perdonen algunas simplificaciones los expertos en seguridad, con los que ya nos pasamos días y días debatiendo cómo hacer las cosas mejor.
Un protocolo de red es un conjunto de reglas utilizadas para permitir la comunicación y la transmisión de datos entre los equipos de una red. Es una especie de “idioma”, documentado, que permite que las máquinas se entiendan entre ellas. Al igual que existen varios idiomas en el lenguaje, también existen múltiples protocolos de red, que evolucionan y se perfeccionan con los años.
¿Por qué son necesarios los protocolos de red?
Para ilustrarlo con un ejemplo, es importante saber que cada máquina se identifica en la red a través de un identificador propio. En el día a día, a ese identificador le bombardean continuamente con paquetes de datos, porque a través de las redes, los datos no se envían de forma íntegra, sino que siempre se envían troceando la información en pequeños paquetes de información. El primer paquete muchas veces incluye una cabecera anunciando cómo serán el resto de los paquetes que están por venir y, a veces, según el protocolo, existe también un paquete de cierre. Es decir, la comunicación en las redes no funciona como en los contact center, donde hasta no terminar una llamada el operador no descuelga la siguiente, sino que es más parecido a un chat grupal lleno de conversaciones en paralelo, y a través de los protocolos las máquinas deben discernir cuándo empieza y cuando acaba cada “conversación” con su interlocutor, para saber cuándo empieza y cuándo termina el archivo que intentan compartir con ella.
Además, cada máquina puede estar conectada detrás de redes con distinta velocidad. Puede ser que el que envía la información sea capaz de “hablar” tremendamente rápido, con redes que envían la información a través de fibra óptica dedicada y, sin embargo, el que recibe la información deba “escucharla” lentamente, porque puede tener su red saturada y tiene que poner en cola todos esos paquetes que recibe. Toda esa información simultanea y desordenada puede dar lugar a situaciones donde los datos pueden acabar corrompiéndose, y los protocolos que priorizan la calidad deben velar por evitar ese tipo de situaciones.
Cada protocolo define las reglas por las cuales esos paquetes de datos se organizan y se espera que lleguen a su destino. Por ejemplo, hay unos protocolos que priorizan la velocidad frente a la calidad de lo que llega, permitiendo que algunos paquetes se pierdan o no lleguen a su destino. Un caso típico de esto son los protocolos usados para los videojuegos online, donde quizá no hace falta recibir el 100% de la calidad de imagen cada vez, pero es imprescindible que cuando alguien pulsa un botón la pantalla responda inmediatamente. Otros protocolos, en cambio, priorizan la calidad del dato enviado y se asegura que llegue a destino pase lo que pase, incluso aunque se interrumpa temporalmente la comunicación. Ese tipo de protocolos son más interesantes cuando lo que estamos transmitiendo es de especial sensibilidad, como sucede con la descarga o envío de nuestra información financiera a los bancos. El protocolo Editran es uno de esos protocolos, diseñado con especial atención para que la comunicación sea robusta y segura.
Cuando se diseña desde cero un protocolo, normalmente se trabaja con foco en distintas capas, cada una de ellas con funcionalidades específicas. El fin principal es conseguir una gestión eficiente y organizada de la comunicación, además de una fácil depuración ante fallos o errores en la misma. Cada capa se encarga de proporcionar servicios a la capa superior y de hacer uso de los servicios de la capa inferior.
Una forma lógica de entender el nivel de las capas es usar el modelo OSI (Open Systems Interconnection), que establece siete capas funcionales para la conexión de los sistemas:
Como se ve en la tabla, los protocolos de transferencia de archivos normalmente operan en las capas más altas del sistema OSI. Aunque detallaremos más contenido sobre los protocolos habituales en el apartado siguiente, permitidnos explicar aquí la diferencia de Editran frente a otros protocolos: Editran, trabaja en las últimas 3 capas apoyándose siempre en el trasporte vía TCP/IP. En el pasado trabajaba con otro tipo de enlaces de red, como X25 o X28, pero hace años que cayeron en desuso y TCP/IP se convirtió en el estándar.
A diferencia de otros protocolos de trasferencia, Editran resuelve a bajo nivel las soluciones de establecer la sesión (establecer, mantener y finalizar las conexiones), la presentación (conversión de formatos, cifrado, compresión…) y niveles de aplicación (interacción con el usuario)
Este protocolo se usa para transferir hipertextos (un formato especial de texto que puede contener links a otros textos) a través de Internet. Este protocolo define cómo debe formatearse y enviarse la información. También define varias acciones que deben tener en cuenta los navegadores web como respuesta a las llamadas que se hacen para cargar una página web particular. Cada vez que un usuario abre una página web utiliza indirectamente el protocolo HTTP para compartir textos, imágenes y otros archivos multimedia.
HTTPS es una extensión del protocolo HTTP. Se usa para una comunicación segura añadiendo el protocolo SSL/TLS para encriptar y autenticar los accesos. Cuando en la página puede cargarse información sensible como detalles de tarjetas de crédito u otra información, se suele requerir de un certificado SSL para hacer la página web un poco más segura.
Los bancos permiten el uso de sus páginas web para procesar información bancaria, pero normalmente se gestiona todo operación a operación ya que los protocolos HTTPS no están optimizados para trabajar con un intercambio grande (en volumen ni en frecuencia) de archivos. No hace falta más explicación porque probablemente todos habremos experimentado más de una vez cómo se nos cae la comunicación y tenemos que volver a empezar el envío al intentar subir un archivo a una web cualquiera.
Estos protocolos se usan para enviar y distribuir emails salientes. Este protocolo usa el encabezado del e-mail para indicar el id del destinatario y poder poner en cola el mail en la bandeja de salida. El mensaje puede incluir texto, videos, imágenes, etc.
Los protocolos de e-mail son vulnerables a sabotajes de terceros ya que el intercambio de información no está protegido por ningún tipo de intercambio de claves públicas- privadas como ya explicamos en el artículo sobre criptografía. El uso de e-mail está bien para documentos triviales, pero ninguno enviaríamos información confidencial como transferencias o datos sensibles de la empresa a través de correo electrónico.
SSH (Secure Shell) es un protocolo que se usa frecuentemente por administradores de sistemas, desarrolladores y otros usuarios técnicos para acceder en remoto a gestionar máquinas. Permite hacer login a máquinas en remoto y facilita una forma segura y encriptada, usando criptografía con clave pública/privada para autenticar al usuario y encriptar la información. Es más seguro que otras conexiones más antiguas como el TELNET.
FTP es un protocolo que se usa para transferir archivos de un sistema a otro. Trabaja en modo cliente-servidor. Cuando una máquina solicita el envío de archivos a otra máquina, el protocolo establece una conexión entre ambos y autentica cada extremo con un id y una contraseña y procede a la transferencia del archivo entre las máquinas.
SFTP, se refiere al uso de FTP (File Transfer Protocol) sobre Secure Shell (SSH). Es una extensión del protocolo SSH. Encripta los comandos de autenticación y el dato mientras transmite, implementando criptografía AES, Triple DES y algoritmos similares que ya se detallaron en el artículo sobre criptografía. Además, para la autenticación, los usuarios de SFTP tienen varias opciones. Pueden validar una conexión con un ID de usuario y una contraseña, una clave SSH, o una combinación de contraseña y clave SSH. Esto ofrece seguridad adicional y es muy interesante para las organizaciones que necesitan implementar medidas de seguridad efectivas en torno a sus procesos de transferencia de archivos y acceso de usuarios.
Sin embargo, el SFTP tiene algunas otras desventajas: las claves son un poco más difíciles de administrar y validar, y puede ser más difícil configurarlas correctamente sin el soporte de proveedores de software. Además, los estándares de configuración SFTP pueden generar problemas de compatibilidad entre los distintos softwares que las gestionan o los diferentes proveedores, que es algo que hay que analizar antes de comprometerse con un proveedor en concreto. En cualquier caso, si vuestras empresas no suelen trabajar con archivos confidenciales, o si tienen muchas restricciones económicas, SFTP puede ser suficiente para satisfacer vuestros requisitos de seguridad, porque en el mercado se encuentras bastantes herramientas SFTP de transferencia de archivos de bajo costo.
En nuestra opinión, el principal problema de usar este protocolo para la comunicación bancaria es que estas herramientas rara vez ofrecen automatización, auditoría, monitorización, firma electrónica, u otras funcionalidades clave que hacen que la transferencia de información sensible sea realmente fácil y segura.
Editran es un software que permite el intercambio directo de archivos entre usuarios, de forma automática y segura. Es tan seguro que hay cientos de empresas en España que lo utilizan para conectarse a sus bancos y hacer la descarga de movimientos, pero también para ordenar transferencias como los pagos de las nóminas. Para poder comunicarse, tanto el emisor como el receptor tienen que tener una licencia específica del software Editran. Ese software usa un protocolo específico para la transferencia de archivos, que tiene el mismo nombre: protocolo Editran. Actualmente la versión del protocolo es la versión 5.2.
El protocolo Editran es un protocolo privado que se diseñó en España específicamente para facilitar la transferencia de archivos confidenciales en el entorno bancario. Se puede utilizar para cualquier caso donde los usuarios tienen que intercambiarse archivos, grandes o pequeños, de cualquier formato, con garantía y seguridad de que van a llegar a destino, sin pasar por servidores ni agentes intermedios. El protocolo está específicamente diseñado para eso, en todas las capas (aplicación, presentación y sesión), velando porque los archivos siempre lleguen íntegros y sin alterarse a destino, y por eso funciona tan bien y es tan popular para la conexión con los bancos. Facilita una conexión segura, automática y punto a punto entre sistemas operativos de todo tipo. No solamente Linux o Windows, sino también, sistemas operativos en arquitecturas mainframe que también usan algunos usuarios.
El software Editran es modular y añade capas de seguridad, control y automatización y usabilidad sobre el protocolo base. Por ejemplo, como ya explicamos en artículos previos, se pueden añadir módulos de criptografía AES/RSA o de Firma Electrónica que dan mayor seguridad y control sobre las transmisiones. Editran, en definitiva, protege los datos en reposo con firma electrónica, programa y automatiza transferencias por lotes, encripta y comprime archivos, permite a los usuarios colaborar entre ellos on-premise o en la nube de forma segura, lleva registro de toda la actividad de transferencia de archivos para cumplimiento y reporting, y mucho más.
Si vuestras empresas quieren una solución con la que despreocuparse de la seguridad en la transmisión y tener optimizados todos los aspectos referidos a la transferencia de archivos con los bancos, necesitan soluciones de cumplimiento, automatización o auditoría, o si intercambian un gran volumen de archivos por día o con información sensible, Editran puede ser de gran ayuda para simplificar sus procesos, y liberar recursos valiosos