El primer martes de cada mes, Microsoft emite un paquete de actualizaciones de seguridad en lo que se conoce como “Patch Tuesday”, el cual funciona como fecha regular en la agenda de los administradores de sistemas. Ellos son los responsables de asegurar que las computadoras en sus compañías serán actualizadas y fortalecidas contra las últimas amenazas.
Si eres un usuario hogareño que utiliza una versión moderna de Windows, las actualizaciones deberían ser descargadas en forma automática a tu PC sin demasiada interferencia - para muchos, lo máximo que verán es una petición de reiniciar el equipo si un parche particularmente complejo se está tratando de instalar.
Como era de esperar, este martes pasado Microsoft emitió su conjunto de parches de diciembre 2015, corrigiendo todo - desde Internet Explorer hasta Microsoft Edge (el nuevo nombre de Internet Explorer) hasta Microsoft Office y el propio Windows.
Pero quizás pasaste por alto que en la misma fecha Microsoft emitió una advertencia separada, relacionada a lo que parece haber sido un error vergonzoso por parte de la empresa:
Microsoft está al tanto de un certificado digital SSL/TLS para *.xboxlive.com para el cual las claves privadas fueron inadvertidamente divulgadas. El certificado podría ser usado en intentos de ejecutar ataques Man-In-The-Middle.
Si todo funcionó bien, los usuarios deberían poder comunicarse en forma segura con el sitio web de Xbox Live a través de HTTPS/SSL - seguros de que nadie podría espiar estas comunicaciones y robar información mientras se transmite. Además, deberías poder confiar en que la información que se te envía desde xboxlive.com realmente proviene del sitio legítimo de Xbox Live.
Pero como la clave privada del sitio de XBox Live se filtró online de alguna forma, todas las apuestas están fuera de la mesa. Un atacante podría en teoría usar el certificado de seguridad filtrado para ejecutar un ataque Man-In-The-Middle, interceptando nombres de usuario, contraseñas e incluso pagos hechos por jugadores de Xbox Live.
Todo suena bastante mal.
Afortunadamente, hay buenas noticias. Primero, Microsoft ha empezado a implementar actualizaciones en Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 y Windows 10 Version 1511, y en dispositivos con Windows Phone 8, Windows Phone 8.1 y Windows 10 Mobile. Todos vienen con un actualizador automático de la lista de certificados de confianza.
Si usas una versión anterior de Windows, deberías instalar un actualizador automático de certificados no confiables que está disponible para Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.
Hay más noticias tranquilizadoras: Microsoft confirmó que el certificado filtrado no puede ser usado para emitir otros certificados, hacerse pasar por otros dominios o firmar código - como sí sucedió en el caso de eDellRoot hace poco.
Además, Microsoft dice que no ha visto indicaciones de que cibercriminales hayan explotado esta falla. Con suerte, las cosas seguirán así.
Pero es necesario hacerse preguntas respecto a cómo fue que se filtró en Internet el certificado de seguridad de Microsoft para xboxlive.com. Esta es información que debería manejarse como las Joyas de la Corona, fuertemente defendida de accesos no autorizados por el potencial de daño que puede haber.
Debemos estar agradecidos de que remediar el problema es tan simple como actualizar la lista de certificados de confianza, pero realmente sería deseable que un gigante del software como Microsoft tuviera certificados de seguridad tan importantes bajo vigilancia más estricta.