Microsoft bloquea los falsos certificados de Google

Microsoft bloquea los falsos certificados de Google

Rubén Velasco

Los certificados digitales son unos ficheros que garantizan de cara a los usuarios la confianza de una página web. Estos certificados generalmente no pueden ser generados por cualquier entidad, sino que hay unos centros encargados de ello, sin embargo, algunos piratas informáticos los consiguen (ya sea comprándolos en las organizaciones o creándolos ellos) y los utilizan para «garantizar la seguridad» de páginas web fraudulentas.

Hace algunos días Google anunció que había descubierto la existencia de una serie de certificados suyos que habían sido falsificados y estaban siendo utilizados por piratas informáticos, aspecto que generó un gran revuelo en la red entre las principales empresas de seguridad que comenzaron a trabajar en una posible solución al respecto. Microsoft, por ejemplo, ha actualizado los módulos correspondientes de su sistema operativo y navegador web para que no pueda aceptarlos al acceder a las páginas web afectadas.

Estos falsos certificados han sido emitidos por el Centro Nacional de Informática de la India, por lo que podrían pasar por totalmente verídicos. Todos aquellos usuarios con acceso a certificados de seguridad falsos pueden utilizarlos para añadir una capa falsa de seguridad a una página web maliciosa que podría ser utilizada, por ejemplo, para descargar malware o para realizar ataques phishing.

Los usuarios de Internet Explorer y Google Chrome del sistema operativo Windows son vulnerables ante estos certificados. Los usuarios de Mozilla Firefox y todos aquellos que utilicen otros sistemas operativos, por ejemplo, Linux o Mac OS X no son vulnerables ante estos ataques y pueden navegar de forma segura por la red y confiar en ellos.

microsoft_falsos_certificados

Los usuarios vulnerables deben instalar la actualización publicada por Microsoft lo antes posible para eliminar dichos certificados de las listas de Microsoft y poder recuperar así la confianza de los mismos. La actualización llegará a través de Windows Update a todos los usuarios, aunque podemos obtener más información sobre ella desde la página principal de TechNet.

No es la primera vez que algunos piratas informáticos intentan utilizar certificados falsos de Google, por ejemplo, un caso similar se pudo ver el pasado año 2011 que afectó a páginas como Comodo, Diginotar o TurkTrust.

¿Has actualizado ya la lista de certificados de Microsoft para evitar ser afectado por uno falso?

Fuente: Protegerse

¡Sé el primero en comentar!