El usuario iraní [_alibo_](http://www.google.co.uk/support/forum/p/gmail/thread?tid=2da6158b094b225a&hl=en) reportó este domingo un problema de acceso a su cuenta de Gmail. Mientras intentaba ingresar a su correo, tal como millones hacemos todos los días, Chrome le advirtió que se estaba usando un [certificado inválido](http://pastebin.com/ff7Yg663) en el servidor:

Pero cuando _alibo_ intentó a través de una VPN el problema desapareció. No es la primera vez que una situación similar ocurre desde Irán; como el mismo usuario acusa:

> … pienso que mi ISP o mi gobierno hizo este ataque (porque vivo en Irán y tal vez hayan escuchado algo sobre el hacker Comodo)

El problema es grave pues se trata del [certificado digital](http://es.wikipedia.org/wiki/Certificado_digital) que da cuenta de la autenticidad de un sitio web; en este caso, de **todos los sitios bajo el dominio google.com**.

Técnicamente, se trata del certificado SSL usado durante el transporte de datos cifrados vía https –obligatorio en [Gmail](http://bitelia.com/tag/gmail), por ejemplo–. Si el certificado es falso, entonces las comunicaciones no pueden considerarse seguras pues es muy probable que alguien en medio esté «fisgoneando»: el hacker, el gobierno, el ISP, o quien quiera que sea detrás del ataque.

Además, para que un certificado pueda considerarse confiable debe ser validado por un tercero, los llamados CA (_Certification Authority_). Verisign es una de empresa dedicada a ello. Para el caso del falso certificado se trata de la empresa neerlandesa DigiNotar.

Las buenas noticias son que los creadores de algunos de los principales navegadores han reaccionado rápido. [Google](http://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html) le ha dicho a CNET que planea bloquear todos los sitios con certificados firmados por DigiNotar. En su blog recomienda

> … que todos los usuarios, especialmente aquellos en Irán, que mantengan actualizados sus navegadores y sistemas operativos, y poner atención a las advertencias de seguridad de sus navegadores web.

Cabe agregar aquí que el certificado falso lleva poco más de 5 semanas circulando por la red. Pero los recién agregados mecanismos de seguridad en Chrome permitieron detectar el ataque.

[Mozilla](http://blog.mozilla.com/security/2011/08/29/fraudulent-google-com-certificate/) por su parte, además de publicar una [guía](http://support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert) para eliminar DigiNotar de forma manual, declara en su blog de seguridad que

> este no es un asunto específico de Firefox, y el certificado ahora ha sido revocado por su emisor, DigiNotar. Esto debería proteger a la mayoría de los usuarios.

[Microsoft](http://www.microsoft.com/technet/security/advisory/2607712.mspx) confirma que el falso certificado podría llevar a ataques de _phishing_, _man-in-the-middle_ y contenido falso para todos los usuarios de la web, incluso usuarios de Internet Explorer. Por eso mismo

> como medida precautoria, Microsoft ha eliminado DigiNotar como certificado raíz de la Microsoft Certificate Trust List

Esa lista de confianza es usada en Windows Vista, 7 y Server 2008. Y publicará una solución para Windows XP y Server 2003 cuanto antes.

Como algunos expertos han señalado en [Twitter](http://twitter.com/#!/marshray/status/108330674167103489), la reacción de Google y Mozilla al descuido de DigiNotar –que no se ha pronunciado al respecto– debería ser una **»sentencia de muerte en Internet»**. Es decir, un bloqueo total a esa entidad como autoridad certificadora, debido al peligro de muerte que expone a usuarios iraníes. Habrá que estar muy atentos a las consecuencias.

También en Hipertextual:

La actualidad tecnológica y científica en 2 minutos

Recibe todas las mañanas en tu email nuestra newsletter. Una guía para entender en dos minutos las claves de lo realmente importante en relación con la tecnología, la ciencia y la cultura digital.

Procesando...
¡Listo! Ya estás suscrito

Participa en la conversación

2 Comentarios

Participa en la conversación, deja tu comentario