Hace no muchos días hemos asistido a una nueva demostración de la fragilidad de los mecanismos de seguridad en los que a veces confiamos ciegamente. En este caso le ha tocado el turno a la versión segura del protocolo HTTP, es decir al protocolo HTTPS.
HTTPS cifra la información que transmitimos a un servidor desde un cliente, mediante protocolo SSL o TLS de forma que la información sensible que pudiera ser interceptada no sería en principio interpretable por el atacante
Pues bien, como decíamos, hace menos de un mes, la seguridad de los certificados utilizados por el protocolo HTTPS ha sido puesta en entredicho por un hacker iraní que consiguió que la Autoridad de Certificación (CA) Comodo “emitiera” certificados falsos para dominios de la talla de mail.google.com, login.live.com, www.google.com, login.yahoo.com, login.skype.com y addons.mozilla.org. El resultado de esta acción es que a través del falso certificado se redirige el tráfico a otro servidor en el que se recogen los datos de autenticación de los usuarios.
Así que ha caído un mito: el de que navegar bajo el protocolo HTTPS nos garantiza la seguridad de la transmisión de datos con el servidor. Y teniendo en cuenta que ese servidor puede ser incluso el de nuestro banco (si el certificado llegara a ser comprometido), la situación es poco tranquilizadora.
Hay que decir no obstante que desde Comodo fueron muy rápidos en comunicar la situación a las empresas afectadas, y que algunas de ellas, como Google, ya se han unido a un grupo de trabajo con la finalidad de desarrollar un sistema que permita validar la firma de los certificados digitales. Esperemos que este trabajo dé sus frutos lo antes posible.
Áudea Seguridad de la Información
Departamento de Gestión
Manuel Díaz Sampedro
www.audea.com