Este asunto de los certificados empieza a ponerse feo. La semana pasada comentábamos el hackeo que había sufrido la firma holandesa DigiNotar, que permitió la emisión de un certificado SSL fraudulento para Google. Bien, resulta que la compañía buscadora no es la única afectada: también se emitieron certificados de agencias de seguridad como la CIA estadounidense, MI6 inglesa y la Mosad israelí.
El Secure Sockets Layer (SSL) es un sistema usado en internet para garantizar la identidad de un servicio. La garantía de identidad se realiza usando una clave digital conocida como certificado, que son emitidos por diversas empresas alrededor del mundo. Últimamente, estas empresas han sido víctimas frecuentes de ataques, lo que permite a los atacantes hacerse pasar por una serie de servicios y engañar a sus usuarios para obtener información valiosa.
El hackeo a la empresa holandesa DigiNotar ocurrió en julio, y al principio sólo se detectaron unos pocos certificados falsos. Ahora, la cantidad de certificados fraudulentos descubiertos alcanza a más de 500, incluyendo además de las agencias de seguridad estatales a empresas como Microsoft, Yahoo, Skype, Facebook y Twitter, entre otros.
Mozilla, Google y Microsoft ya lanzaron parches para sus navegadores para que no acepten ningún certificado emitido por DigiNotar. Se cree que el ataque provino desde Irán, y que tenía como objetivo espiar a los propios ciudadanos iraníes, según señaló TrendMicro.
El fin de semana, el ministro del Interior de Holanda, Piet Hein Donner afirmó que el gobierno no puede garantizar la seguridad de sus sitios web debido al hackeo de DigiNotar, y solicitó a los ciudadanos no usar los sitios hasta que se emitan nuevos certificados de otra fuente.
Los certificados falsos podrían usarse para realizar ataques tipo “man in the middle”, que engañan a los usuarios haciéndolos creer que están en un sitio legítimo, aunque sus comunicaciones están siendo en realidad interceptadas secretamente.
La vulneración de DigiNotar está siendo investigada por las autoridades holandesas, y existe la posibilidad de que se retire de operación a la compañía por esta filtración.
Existen alrededor de 500 autoridades emisoras de certificados SSL en el mundo, que están siendo fuertemente criticadas actualmente por su pobre seguridad. Es posible que el caso de DigiNotar no sea el último de este tipo que veamos.
Link: Hackers steal SSL certificates for CIA, MI6, Mossad (ComputerWorld)