jueves, 10 de julio de 2014

Certificados digitales falsos comprometen la seguridad de Internet Explorer

stock-footage-cyberspace-digital-lock-loopable-background

Una serie de certificados digitales falsos podrían poner en peligro a los usuarios de Internet Explorer en Windows. Dichos certificados vienen de la India. Google Y Microsoft ya están trabajando para solucionar el problema.

Tal vez esta sea una de esas noticias que pase desapercibida ahora pero de la que se hablará bastante más si no se toman cartas en el asunto. En una noticia que podemos leer en Ars Technica nos enteramos de que la seguridad de los ordenadores Windows que aún usen Internet Explorer podría verse muy comprometida por culpa de los certificados digitales de seguridad fraudulentos.
El primer certificado digital falso se detectó el 25 de junio
Dichos certificados son los que aseguran al navegador que la página web que visitan es quien dice ser, como un DNI, y que se puede confiar en ella. Con esta brecha, por ejemplo, se podría usar un certificado para hacer creer que se está visitando una web seguro cuando en realidad no es así. De este modo se podría cargar software malicioso. Un tema muy serio, tanto casi como el de hace unos meses.

Y ahora la pregunta lógica es: ¿de dónde han salido estos certificados falsos? Al hacer esta pregunta es cuando uno realmente se da cuenta de la magnitud de la tragedia. Hace cosa de una semana en Google se dieron cuenta de que se estaban haciendo uso de certificados ilegales con respecto a varios de sus dominios. Dichas credenciales habrían sido expedidas por la NIC (National Informatics Centre) de la India, una autoridad de certificación intermedia que depende de la CCA (Controller of Certifying Authorities) también de la India. Esta última es de la confianza del Microsoft Root Store, una librería en la que Internet Explorer y otras aplicaciones de Windows se basan para procesar los certificados TLS de bancos, proveedores de correo y otros servicios online que requieran de tráfico encriptado y para demostrar su autenticidad.
Tres certificados estaban relacionados con dominios de Google y uno con Yahoo
A día de hoy aún no se sabe con certeza cuantos certificados digitales son fraudulentos. Google dice conocer 5, 4 de los cuales ya han sido revocados, pero nadie pone la mano en el fuego por dar el tema por zanjado. La CCA ya se ha apresurado en culpar a la NIC de todo el asunto y han anulado sus certificados para evitar mayores problemas.

La brecha de seguridad comprometería tan solo a usuarios de Windows, Internet Explorer y Chrome, también en el mismo SO. Cualquier otro sistema operativo o navegador estaría libre de fallos al no usar el "root store" de Microsoft. Como bien apuntan algunos comentarios de expertos informáticos, esta amenaza se podría reducir considerablemente si se evitan webs que usen certificaciones basadas en la India. De todos modos tanto Google como Microsoft ya están trabajando para controlar esta situación y en los próximos días habrá una actualización al respecto.








No hay comentarios:

Publicar un comentario