El usuario iraní alibo reportó este domingo un problema de acceso a su cuenta de Gmail. Mientras intentaba ingresar a su correo, tal como millones hacemos todos los días, Chrome le advirtió que se estaba usando un certificado inválido en el servidor:
Pero cuando alibo intentó a través de una VPN el problema desapareció. No es la primera vez que una situación similar ocurre desde Irán; como el mismo usuario acusa:
... pienso que mi ISP o mi gobierno hizo este ataque (porque vivo en Irán y tal vez hayan escuchado algo sobre el hacker Comodo)
El problema es grave pues se trata del certificado digital que da cuenta de la autenticidad de un sitio web; en este caso, de todos los sitios bajo el dominio google.com.
Técnicamente, se trata del certificado SSL usado durante el transporte de datos cifrados vía https --obligatorio en Gmail, por ejemplo--. Si el certificado es falso, entonces las comunicaciones no pueden considerarse seguras pues es muy probable que alguien en medio esté "fisgoneando": el hacker, el gobierno, el ISP, o quien quiera que sea detrás del ataque.
Además, para que un certificado pueda considerarse confiable debe ser validado por un tercero, los llamados CA (Certification Authority). Verisign es una de empresa dedicada a ello. Para el caso del falso certificado se trata de la empresa neerlandesa DigiNotar.
Las buenas noticias son que los creadores de algunos de los principales navegadores han reaccionado rápido. Google le ha dicho a CNET que planea bloquear todos los sitios con certificados firmados por DigiNotar. En su blog recomienda
... que todos los usuarios, especialmente aquellos en Irán, que mantengan actualizados sus navegadores y sistemas operativos, y poner atención a las advertencias de seguridad de sus navegadores web.
Cabe agregar aquí que el certificado falso lleva poco más de 5 semanas circulando por la red. Pero los recién agregados mecanismos de seguridad en Chrome permitieron detectar el ataque.
Mozilla por su parte, además de publicar una guía para eliminar DigiNotar de forma manual, declara en su blog de seguridad que
este no es un asunto específico de Firefox, y el certificado ahora ha sido revocado por su emisor, DigiNotar. Esto debería proteger a la mayoría de los usuarios.
Microsoft confirma que el falso certificado podría llevar a ataques de phishing, man-in-the-middle y contenido falso para todos los usuarios de la web, incluso usuarios de Internet Explorer. Por eso mismo
como medida precautoria, Microsoft ha eliminado DigiNotar como certificado raíz de la Microsoft Certificate Trust List
Esa lista de confianza es usada en Windows Vista, 7 y Server 2008. Y publicará una solución para Windows XP y Server 2003 cuanto antes.
Como algunos expertos han señalado en Twitter, la reacción de Google y Mozilla al descuido de DigiNotar --que no se ha pronunciado al respecto-- debería ser una "sentencia de muerte en Internet". Es decir, un bloqueo total a esa entidad como autoridad certificadora, debido al peligro de muerte que expone a usuarios iraníes. Habrá que estar muy atentos a las consecuencias.