Un poco más de una semana atrás, Google anunció que había encontrado certificados digitales ilegítimos en algunos de sus dominios. Los mismos habían sido generados por el Centro Nacional de Informática (NIC) de India, autoridad de certificación responsable de confianza del país.
El hecho de que los certificados que mencionamos se encuentran en el programa Windows Root Certificate Program Members hace que los mismos sean de confianza para la mayoría de los programas para Windows, como el navegador Internet Explorer. Desde su descubrimiento, han encontrado dominios pertenecientes a Google y Yahoo, entre otros.
El tema aún está siendo investigado por la autoridad generadora de certificados de India, pero muchos vitales para la privacidad de los contenidos en Internet ya fueron revocados. Microsoft anunció el 10 de julio pasado que está al tanto del incidente, y ha emitido el Microsoft Security Advisory 2982792, donde indica que está actualizando su listado de certificados de confianza.
¿Cuál es la consecuencia de esto?
El problema con los certificados de seguridad fraudulentos es que los mismos pueden ser utilizados por atacantes para hacerse pasar por empresas de confianza como las ya mencionadas e infectar computadoras con diversos tipos de malware, posibilitar la implementación de ataques MITM y lanzar campañas de phishing mucho más creíbles, ya que las mismas vendrían firmadas por dichas empresas.
Existen recomendaciones para usuarios de Windows:
- Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2, además de dispositivos con Windows Phone 8 o Windows Phone 8.1 con actualizador automático de certificados revocados, no necesitan hacer nada, ya que el listado de certificados de confianza será actualizado por Microsoft de forma automática.
- Lo mismo aplica para sistemas con Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 con actualizador automático de certificados revocados (ver Artículo de la Base de Conocimientos de Microsoft 2677070 para obtener más detalles)
- Sistemas con Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 sin actualizador automático de certificados revocados necesitan instalarlo (ver Artículo de la base de Conocimientos de Microsoft 2677070). Usuarios en ambientes sin conexión y que utilizan Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2, o Windows Server 2012 pueden instalar la actualización 2813430 (ver Artículo de la Base de Conocimientos Microsoft 2813430 para obtener más detalles).
Hoy en día vemos que hasta protocolos seguros como el HTTPS pueden ser explotados por cibercriminales, y eso se da mayormente debido a que no importa cuán seguro sea un sistema, tenemos que considerar el factor humano, que es imperfecto.
Alertas, actualizaciones y parches nunca deben ser ignorados, ya que este universo digital programado por personas imperfectas tiene fallas y/o vulnerabilidades, además de criminales dispuestos a explotarlas, pero soluciones para estos problemas también seguirán existiendo, así que hagamos nuestra parte para poder disfrutar de la tecnología sin miedo.