El descubrimiento de un certificado falso siempre causa un revuelo importante por el elevado alcance que puede tener, sobre todo si los sitios que quieren suplantarse con ese tipo de certificados pertenecen a empresas tan importantes como Google. Si echamos la vista atrás, no hace mucho comentamos en este mismo blog un caso similar con la empresa Comodo como protagonista.
Para aquellos usuarios que desconozcan para qué sirven estos certificados, simplemente se recuerda que son una especie de sello de autenticidad que los navegadores consultan cuando acceden a un sitio web para verificar que son quienes dicen ser.
Estos certificados son emitidos por una serie de entidades autorizadas y, en este caso, el origen del problema viene desde la empresa holandesa Diginotar. Esta entidad certificadora lleva experimentando intrusiones de ciberdelincuentes desde mayo de 2009, y, aun así, tiene la potestad de emitir este tipo de valiosos certificados.
El pasado 27 de agosto se descubrió mediante una entrada en Pastebin, donde se mostraba el falso certificado de Google. Con estos datos, un atacante podría redirigir a un usuario a un sitio falso que sea un subdominio de google.com, como, por ejemplo, Gmail (mail.google.com), Google Maps (maps.google.com) o Google Docs (docs.google.com), y hacerlos pasar por auténticos.
No obstante, para conseguir esto es necesario que todo el tráfico de los usuarios a los que se desee atacar pasen por un servidor controlado por los atacantes. Eso se puede conseguir infectando el sistema de la víctima y cambiando sus DNS, o directamente atacando a los proveedores de servicios de Internet. Esto último suele ser más accesible para los gobiernos autoritarios, ya que son los que ejercen mayor presión sobre los contenidos de la web a los que pueden acceder sus ciudadanos.
Todo apunta a que el ataque proviene de Irán, y sabiendo que el certificado falso se emitió el pasado 10 de julio, se han tenido casi dos meses para usarlo en actividades de dudosa legalidad. Cabe recordar que el Gobierno Iraní no tiene potestad para emitir este tipo de certificados.
Por su parte, las tres empresas detrás de los navegadores más usados han hecho públicos sus anuncios al respecto de esta incidencia:
– Google anunció en su blog de seguridad un resumen del ataque y también confirmó que los usuarios de su navegador Chrome estaban a salvo de este tipo de ataques. Asimismo, anunció que iban a eliminar el certificado de Diginotar hasta que todo este asunto se aclare.
– Microsoft ha lanzado una alerta de seguridad por la que anuncia la eliminación del certificado de Diginotar de su navegador Internet Explorer, lo que mostrará una alerta si un usuario intenta acceder a una web firmada con ese certificado falso.
– La fundación Mozilla ha anunciado nuevas versiones de Firefox y ha publicado unas instrucciones para que los usuarios puedan eliminar a Diginotar como entidad certificadora de confianza.
Con este ya son dos los casos similares en lo que llevamos de año, y si tenemos en cuenta que antes de 2011 tan solo se había producido una revocación de un certificado en 2001, vemos cómo es posible que suframos casos similares en el futuro.
Desde el laboratorio de ESET en Ontinet.com aconsejamos seguir las recomendaciones proporcionadas por el fabricante del navegador que usemos y actualizarlo si fuera necesario.
Josep Albors