Google ha informado en su blog de seguridad que la mayoría de la gente afectada por la maniobra se encuentra en Irán (el usuario que advirtió del problema dice estar allí).
La compañía holandesa DigiNotar, una de las cientos de autoridades de certificación que existen en el mundo, había emitido un certificado para sitios de Google, que no terminó en manos del gigante de internet, sino de potenciales cibercriminales. No está claro cómo es que ese certificado fue emitido ni cómo llegó a las personas equivocadas.
¿Qué son estos certificados?
En términos simples, estos certificados consisten en una suerte de formulario virtual que el sitio web que está siendo visitado le "presenta" al navegador del usuario para confirmar que efectivamente es de quien dice ser.Si el navegador reconoce el certificado, establece la conexión y comienza a intercambiar datos con confianza. Para reconocerlo, el propio navegador posee una lista de entidades que pueden emitir certificados, entre los que están autoridades de certificación, como DigiNotar.
Tanto Google como Microsoft y Mozilla, que proveen los más populares navegadores web (Chrome, Internet Explorer y Firefox, respectivamente), han intentado dar respuesta al problema.
Google dijo que rechazará los certificados de DigiNotar en Chrome, mientras continúa investigando; y aclaró que esa autoridad de certificación no debía emitir certificados de Google.
Microsoft informó que ha eliminado el certificado general de DigiNotar (el que a su vez valida los certificados emitidos por la empresa) de la lista autorizada por sus navegadores, por lo que si los usuarios intentan visitar un sitio con certificados de esa compañía recibirán un mensaje de error.
Por su parte, Mozilla ha decidido directamente lanzar versiones nuevas de su navegador (para PCs y dispositivos móviles) y su cliente de correo electrónico Thunderbird.
También ha sugerido a sus usuarios desactivar los certificados de DigiNotar en las preferencias de Firefox.
Casi dos meses
El asunto es que mientras los anuncios de las compañías son de este lunes, el certificado falso fue emitido el 10 de julio y nadie sabe a ciencia cierta para qué pudo ser utilizado durante todo este tiempo.Los cierto es que, como explicó Mateusz Pawlowski, especialista en infraestructura de internet de la BBC, el solo hecho de poseer el certificado falso no es suficiente para interceptar las conexiones del usuario con los sitios de Google.
También es necesario hacer que el tráfico pase por algún servidor controlado por quien está intentando espiar a los usuarios.
Para eso, dijo el experto, el espía necesitaría penetrar la computadora de la víctima o los sistemas de su proveedor de servicios de internet (ISP), para poder desviar el tráfico que circula entre el navegador del usuario y el sitio de Google que está visitando, para constituirse como intermediario de esa comunicación.
Los estados autoritarios, con mayor control sobre los ISP tienen más facilidad que otras naciones de hacer algo así.
Aunque también pueden hacerlo actores privados, dijo Pawlowski.
Nuevas alternativas
Casos como este han llevado a que en el mundo de la seguridad en internet se cuestione cada vez con más fuerza la eficacia de los certificados y la estructura de las agencias de certificación.En una nota publicada en su sitio web, la Fundación Fronteras Electrónicas (EFF, por sus siglas en inglés) dice que este sistema, creado hace décadas para verificar las transacciones en línea, no está en condiciones de satisfacer las necesidades de seguridad de hoy en día.
"Hoy los usuarios de internet confían en este sistema para proteger su privacidad de (los ojos) de naciones-estado", dice. "Ponemos en duda que pueda soportar esta carga".
Existen varias iniciativas que buscan superar este sistema que hoy parece haberse vuelto demasiado susceptible de ser vulnerado.
La EFF ha establecido un observatorio de certificados y otra iniciativa llamada Convergence busca reemplazar totalmente su uso.
Y Chrome, el navegador de Google, ya trae incorporado un sistema de verificación para los sitios de la compañía que evita el fraude de certificados.
De hecho, esa característica fue la que le permitió al usuario que escribió en sus foros detectar que estaba frente a un certificado falso.
Fuente: BBC
