Qué son los certificados SSL y qué implica que Rusia esté emitiendo los suyos propios

A raíz de las sanciones a Rusia por su invasión a Ucrania, algunas empresas y particulares se están encontrando con problemas para renovar los certificados SSL que permiten la conexión segura a las páginas webs. Como ya os explicamos cuando os hablábamos de la Agencia Tributaria y su conexión, un certificado SSL garantiza que la conexión entre nuestro navegador y la página web que estemos visitando sea segura y cifrada y ningún intermediario (nuestro operador o un ciberatacante) pueda ver qué hacemos o qué datos introducimos en ella. Por ello, cada vez que nos conectamos a un sitio que disponga de uno, nos aparece un candado y el enlace comienza por ‘https’.

¿Qué está ocurriendo ahora? Las entidades que emiten estos certificados no pueden procesar los pagos de la renovación a sus clientes rusos por el paro en las operaciones en el país de empresas como Visa, Mastercard o American Express, según recogió el medio especializado Bleeping Computer

En respuesta a esto, el Ministerio de Transformación Digital de Rusia está generando nuevos certificados SSL para los dominios rusos que se vean en la tesitura de no poder renovar los que tenían por el momento, expedidos por entidades autorizadas occidentales como CloudflareGlobalSign o DigiCert. Entonces, ¿qué implica que Rusia expida sus propios certificados? ¿Afecta a la seguridad de las webs y a sus visitantes? ¿Son igual de seguros?

Para tener un certificado SSL, hace falta que una autoridad reconocida lo expida

Para que una web obtenga un certificado SSL y a los usuarios se nos muestre ese característico ‘https’ al entrar en ella, tiene que existir una autoridad reconocida por los navegadores que sea la que avale esta conexión segura mediante dicho certificado. Algunos ejemplos son Let’s Encrypt, que los ofrece de forma gratuita, CloudflareGlobalSign o DigiCert, como ya hemos comentado, además de organismos públicos como la Fábrica Nacional de Moneda y Timbre, en el caso de España. 

La cosa no queda ahí: los navegadores tienen que ‘confiar’ en la entidad que emite el certificado. Es decir, que para que aparezca el candado y se nos garantice que la conexión es segura, no vale con cualquier certificado ni cualquier autoridad, sino que tiene que ser una reconocida por los navegadores, tal y como se especifica en las páginas de soporte de Mozilla Firefox o Google Chrome, por ejemplo. Si no, lo usual es que se nos muestre un aviso informándonos de que no se conoce quién ha emitido el certificado y que por tanto nuestra conexión puede estar comprometida.

Aviso sobre los certificados en el navegador de Mozilla.

Tal y como explica Marc Almeida, analista técnico, “todo esto es una cuestión de confianza: los desarrolladores de navegadores y de sistemas operativos tienen que fiarse de estas autoridades (de las que se presupone ciertos estándares de seguridad) e incorporarlos a sus programas”. 

El experto añade que “no parece que compañías estadounidenses como Microsoft (Windows y Edge), Apple (Mac, iOS y Safari), Google (Android y Chrome) o Mozilla (Firefox) vayan a hacerlo, sobre todo cuando la gran mayoría de cuestiones sobre Internet están estandarizadas bajo prismas de empresas estadounidenses, y menos ahora en el contexto de la invasión a Ucrania”. Como os hemos ido contando en Maldita.es, estas grandes empresas han tomado medidas contra el Gobierno ruso prácticamente desde el momento en el que comenzó el ataque contra Ucrania. Entre ellas, bloquear el acceso a agencias estatales rusas o paralizar sus servicios en el país ruso.

Según la información de Bleeping Computer, sólo los navegadores de origen ruso, Yandex y Athom, confían en los certificados emitidos por el Gobierno ruso, lo que aumenta el aislamiento de actores extranjeros como Google o Mozilla en la red del país. Si utilizamos otro navegador, tendríamos decirle manualmente que confíe en ese emisor de certificados: para hacerlo, tendríamos que descargar el certificado raíz desde la página de Gosuslugi (un portal oficial de servicios electrónicos ruso) y añadirlo manualmente a la lista de autoridades en las que se confía en nuestro navegador (normalmente, en el apartado Certificados) o instalarlo en nuestro ordenador.

Usar certificados no reconocidos puede conllevar riesgos para nuestra seguridad en la red

Usar un certificado no reconocido y no controlado entraña algunos riesgos, como que la entidad certificadora saque su propio certificado para webs de otros países para realizar ataques Man in the Middle contra sus ciudadanos”, advierte Jorge Louzao, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes. Como explicó nuestra también maldita Susana Regalado, un ataque Man in the Middle (“ponerse en el medio”) “consiste en interponerse entre el usuario y la web para saber todo lo que hace y poder modificarlo a su gusto”. 

“Como además Rusia tiene en marcha sus propios servidores DNS, no es muy difícil que el país pueda redirigir el tráfico de los usuarios rusos que quieran acceder a www.google.com hacia un servidor intermedio donde ejecute este ataque”, explica Louzao. 

Que Rusia emita sus propios certificados también coloca al país en una situación en la que controla más las conexiones en su territorio: “Al igual que pasa con los operadores y nuestra conexión a Internet, que pueden saber a qué nos estamos conectando, aquí sucede lo mismo pero va un paso más allá, porque que Rusia emita sus propios certificados implica que pueden conocer las claves que cifran y descifran la información, por lo que tiene las llaves para saber qué pasa en cada conexión”, añade Almeida. 

“Eso sí, si el certificado está bien configurado con los estándares de seguridad, las claves podrían ir cambiando a menudo y no sería tan fácil de descifrar el tráfico”, puntualiza Louzao. No obstante, el experto en ciberseguridad apunta a que, “de todos modos, en un lugar con las libertades cercenadas como lo es Rusia, tienen otros métodos para conocer la información de los usuarios como por ejemplo, obligando a los proveedores a revelar datos de sus clientes”.

En este artículo ha colaborado con sus superpoderes el maldito Jorge Louzao, experto en ciberseguridad.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Fuente: maldita.es

También podría interesarte