Microsoft alerta de la existencia de certificados falsos de Google

microsoft-google

Hace unos días Google anunciaba que había descubierto un número de certificados digitales fraudulentos siendo utilizados en algunos de sus dominios. Al parecer, estos certificados fueron generados por el Centro Nacional de Informática de la India, la autoridad de certificación responsable en ese país.

Como no podía ser de otra forma, este asunto desató un gran revuelo e incluso provocó que Microsoft publicara una actualización de emergencia que revocara esos certificados fraudulentos. Se actuó tan deprisa puesto que, mal utilizados, estos certificados harían pasar una web maliciosa por otra de plena confianza para la mayoría de navegadores.

¿Cómo nos afecta como usuarios?

Básicamente, cualquiera que pueda generar certificados falsos y hacerlos pasar por verdaderos tiene la capacidad de utilizarlos para hacerse pasar por empresas y sitios webs de confianza, permitiendo la descarga de malware o la creación de webs de phishing sin que el usuario (ni el navegador) sospechen nada en absoluto, puesto que, a todos los efectos, se estaría accediendo a supuestas webs de confianza certificadas por empresas con supuesta buena reputación.

En este caso, al encontrarse la entidad certificadora incluida en el almacén de certificados de Microsoft, son varios los programas que confían en este almacén que se ven afectados (principalmente navegadores como Internet Explorer y Google Chrome). Mozilla Firefox no se ve afectado puesto que utiliza su propio almacén de certificados, en el que no estaba incluida la entidad afectada. Tampoco se ven afectados los navegadores que funcionan en GNU/Linux y Mac OS X.

Soluciones

Los usuarios de Windows pueden seguir las siguientes recomendaciones:

  • Los usuarios de Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2, además de dispositivos con Windows Phone 8 o Windows Phone 8.1 tras las actualizaciones automáticas de certificados revocados, no necesitan hacer nada, ya que el listado de certificados de confianza será actualizado por Microsoft de forma automática.
  • Lo mismo se aplica para sistemas con Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 con actualización automática de certificados revocados (ver Artículo de la Base de Conocimientos de Microsoft 2677070 para obtener más detalles)
  • Sistemas con Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 sin actualizador automático de certificados revocados necesitan instalarlo  (ver Artículo de la base de Conocimientos de Microsoft 2677070). Aquellos usuarios en ambientes sin conexión y que utilizan Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2, o Windows Server 2012 pueden instalar la actualización 2813430 (ver Artículo de la Base de Conocimientos Microsoft 2813430 para obtener más detalles).
Antecedentes

No es la primera vez que ocurre algo similar. De hecho ya es la quinta vez desde 2011, tal y como informan desde el blog de Eleven Paths. Casos anteriores como los de Comodo, Diginotar o TurkTrust han demostrado que hay atacantes muy interesados en crear certificados falsos que poder usar para ganarse la confianza de los usuarios y hacer que estos accedan a webs maliciosas sin sospechar nada raro. Curiosamente, casi siempre se han tratado de utilizar certificados falsos de Google.

En este caso, al haber sido una institución nacional la que ha generado los certificados falsos hay serias dudas respecto a los motivos detrás de esta maniobra. Podría ser que esta institución hubiese sido atacada y los atacantes la hubiesen utilizado para generar estos certificados aunque, por otra parte, también podría ser que esta maniobra formase parte de una operación a mayor escala para realizar espionaje sobre sus ciudadanos u otros países.

Sea como sea, este tipo de incidentes se están volviendo demasiado frecuentes y, como usuarios concienciados por la seguridad, debemos estar al tanto de este tipo de noticias y actualizar si se nos presenta la oportunidad de ello. Además, si somos aun más precavidos, podemos revocar manualmente aquellos certificados que no nos inspiren confianza utilizando herramientas como SSLCop desarrollada por  Yago Jesús de Security by Default.

Josep Albors

Créditos de la foto: Amit Chattopadhyay / Foter / Creative Commons Attribution 2.0 Generic (CC BY 2.0)

¿Son seguras las aplicaciones web de gestión de contraseñas?