China, acusada de repartir certificados digitales falsos en una violación 'seria' de la seguridad en Internet

Los certificados digitales son los pasaportes de Internet. Ellos informan a los buscadores como Chrome y Safari que los sitios web son auténticos. Cuando vas a la página de tu banco, por ejemplo, ésta presenta un certificado a tu navegador: el icono de un candado aparece a la izquierda de la dirección URL, lo que significa que el sitio es legítimo y está encriptado, y que por lo tanto no estás dando tu nombre de usuario y contraseña al primer 'hacker' que pase por allí.

Pero esta concepción de la seguridad asume que el certificado es válido.

En una acción que podría afectar la libre circulación de información online, aparentemente China habría estado repartiendo certificados digitales falsificados.

En un post del pasado 23 de marzo, Google aseguró que recientemente había detectado certificados "no autorizados" en varios de los dominios de la compañía y tachó el hecho de "violación grave". Según Google, una compañía egipcia llamada MCS Holdings emitió los certificados haciendo de intermediario para el Centro de Información sobre la Red de Internet de China (CNNIC, por sus siglas en inglés), una unidad del Ministerio de Industria e Información de China.

Google afirmó que MCS Holdings había entregado certificados falsos que convencían a los buscadores que una serie de webs falsas eran en realidad auténticas. La compañía no especificó qué dominios eran los afectados, pero cualquiera podría haber entrado en lo que creían que era Gmail cuando en realidad estaban en una web falsa.

Siempre según Google, MCS Holdings utilizó los certificados de forma aún más alevosa para llevar a cabo estafas conocidas como "de hombre en el medio", esto es, seguir la actividad de los usuarios incluso cuando se encontraban en webs genuinas.

James Andrew Lewis, experto tecnológico del Centro de Estudios Internacionales y Estratégicos, contó a VICE News que la estafa iba en la misma línea de otras operaciones de ciberespionaje ejecutadas por China. La semana pasada, varios expertos en seguridad aseguraron que los 'hackers' chinos utilizaron falso tráfico web para colapsar la página GitHub, un sitio creado por programadores que alberga versiones "espejo" de la BBC, The New York Times y otros medios prohibidos en China.

"En el último año hemos visto una cantidad infinita de medidas impulsadas por el gobierno chino para aumentar el control de la red e incluso intentar expandirlo fuera del país", aseguró Lewis a VICE News. "La idea de la información como campo de batalla para el Partido Comunista es una de las ideas que les mueven".

Después de que Google bloqueara los certificados digitales de MCS Holdings en el navegador Chrome, Mozilla Firefox y otros les siguieron rápidamente. Google dijo que no había encontrado ningún otro abuso y que no bloquearía otros certificados del CNNIC.

Adam Langley, ingeniero de seguridad de Google, sugirió que Beijing había trabajado con la compañía egipcia con intenciones desleales. "CNNIC delegó una parte sustancial de su autoridad a una organización nada adecuada", escribió Langley en el Blog de Seguridad Online del gigante estadounidense de la comunicación.

El post hizo saltar las alarmas en el Comité para la Protección de los Periodistas. El pasado jueves, el técnico del Comité Tom Lowenthal se puso en contacto con Google y otros desarrolladores de buscadores para que rechazasen los certificados chinos de forma conjunta.

"La confianza puesta en el CNNIC para que emitiera credenciales válidas sufrió un claro abuso para atacar usuarios en una violación colosal de las normas que apuntalan la seguridad global en Internet, escribió Lowenthal. "La estrecha relación entre el CNNIC y el gobierno y el ejército chinos siempre ha levantado sospechas entre la comunidad tecnológica sobre su fiabilidad".

Dado que menos de 600 autoridades expiden certificados digitales en todo el mundo, Silicon Valley probablemente no hará demasiado caso al consejo de Lowenthal. Así lo cree Seth Schoen, técnico sénior en la Fundación Frontera Electrónica. Según Schoen, el sistema de concesión y autenticación de certificados es "el Salvaje Oeste".

"Realmente, no hay un consenso o un acuerdo de mínimos sobre cómo responder a situaciones como ésta, sea cuando una de las autoridades de certificación es víctima del 'hackeo' o cuando delega sus funciones en alguien que hace mal uso de sus prerrogativas", aseguró Schoen a VICE News.

Jason Healey, director de la Iniciativa de Políticas Cibernéticas del Consejo Atlántico, añadió que el gobierno de los EEUU probablemente tampoco llevaría a cabo ninguna acción. Según Healey, la Agencia Nacional de Seguridad (NSA) también ha utilizado certificados falsos para espiar a Irán y probablemente a otros: "¿Cómo pueden los Estados Unidos salir y decirle a alguien 'tú no puedes emitir certificados falsos' cuando ellos también lo han hecho clandestinamente?", se preguntó el experto en ciberseguridad en una entrevista con VICE News.

Healey espera que Apple, Google, Microsoft y el resto de la industria tecnológica encuentre vías para evitar la circulación de certificados falsos. Google está trabajando en un sistema llamado 'Certificate Transparency' que haría la certificación más pública.

Según Healey, las compañías tienen un incentivo a la hora de buscar garantías. Si la mayor economía del mundo inundara Internet de certificados falsos, la innovación se resentiría. Nadie querrá conectar alarmas antirrobo con el teléfono móvil o viajar en coches sin conductor si creen que alguien podría 'hackear' estos sistemas, aseguró.

"Estamos empezando a meternos con los fundamentos básicos que hacen de Internet un lugar seguro, estable y protegido", afirmó Healey.

Sigue a John Dyer en Twitter: @johnjdyerjr

Imagen vía Wikimedia Commons