hacker

Cuando accedemos a un sitio como Gmail, en el que la comunicación está cifrada vía SSL, nuestro navegador comprueba que el certificado digital del sitio está emitido por una autoridad de confianza y, si no es el caso, entonces nos lo indica con una alerta de seguridad. Que una autoridad sea o no de confianza, en primera instancia, depende del navegador puesto que mantiene una lista con las autoridades reconocidas y, si se topa con un certificado que no lo está, le toca al usuario aceptar o no excepción. A estas alturas, creo que nadie se podría imaginar una alerta de seguridad en un sitio como Gmail, sin embargo, en Irán esta creencia se vino al suelo cuando al intentar acceder a Gmail se encontraron una alerta de seguridad de certificado inválido.

¿Certificado inseguro en Gmail? Pues como comenta mi compañero Alan en ALT1040, cuando algunos usuarios probaron desde una VPN el problema desaparecía y, este indicador, les hizo pensar en que algo no estaba funcionando bien. Según parece, un proveedor de certificados de seguridad holandés, DigiNotar, habría sido hackeado y le habrían robado un certificado digital válido para cualquier web de Google, lo que podría dar pie a realizar ataques man-in-the-middle a usuarios de Gmail o cualquier otro servicio de la compañía de Mountain View.

Según Andrew Storms, director de operaciones en nCircle Security:

Un atacante podría “envenenar” un DNS y redirigir a un usuario a un sitio web copia de uno verdadero pero controlado por el atacante, al robar las credenciales se daría como sitio seguro y bino, obtendremos las credenciales del usuario

El problema es muy grave porque, según varios expertos en seguridad, el certificado publicado es válido y denota, por un lado, la falta de seguridad de DigiNotar y, por otro lado, expone a los usuarios de los servicios de Google a la merced de estos hackers. De hecho, este caso recuerda bastante al caso del hacker iraní que introdujo certificados falsos de Skype, Yahoo! o Hotmail, sin embargo, en esta ocasión el dedo acusador apunta al propio gobierno de Irán.

¿El gobierno iraní? Bueno, si tenemos en cuenta que el servicio funciona bajo VPN y en Irán no, parece que el fallo está bien localizado y más de una voz coincide en que podría ser una campaña para robar las credenciales de los usuarios, por ejemplo, para hacer seguimiento de lo que hacen.

Para paliar sus efectos, Google lanzará una actualización de su navegador que rechace los certificados de seguridad que provengan de DigiNotar, Mozilla ha editado una guía para eliminar a esta entidad certificadora de la lista de confianza además de asegurar una próxima actualización y Microsoft ha eliminado a DigiNotar de la Microsoft Certificate Trust List.