
Hace años la seguridad de la Autoridad de Certificación DigiNotar fue comprometida permitiendo emitir certificados digitales falsos. Esto permitió poner la seguridad de Gmail y otros servicios importantes en peligro como Yahoo, WordPress e incluso Mozilla, ya que se podrían realizar ataques Man In The Middle fácilmente. Posteriormente DigiNotar echó el cierre debido a la falta de confianza debido a este ataque sofisticado a sus sistemas.
El 90% de los profesionales de la ciberseguridad creen que habrá en los próximos 24 meses un nuevo caso DigiNotar, es decir, creen que van a comprometer una autoridad de certificación de alto nivel, con todo el peligro para la seguridad que eso entraña.
Según una nueva investigación de Venafi en Black Hat, muchos profesionales no están preparados para hacer frente a esta amenaza respondiendo adecuadamente. Hasta un 57% de los profesionales IT no estaría preparado para hacer frente a esto, y hasta un 30% no sabrían qué hacer o continuarían utilizando la misma CA comprometida y todos sus certificados digitales firmados ante tal evento.
El estudio realizado muestra algo mucho más preocupante, y es que algunos profesionales de seguridad no saben cómo funciona una Autoridad de Certificación. Hasta un 63% respondió que no saben lo que es una Autoridad de Certificación, en este grupo también se incluye a los que piensan que una CA asegura certificados y claves criptográficas. Como todos vosotros sabéis, una CA simplemente se limita a emitir y revocar certificados digitales y no controlan su uso ni dónde se «instalan».
Teniendo en cuenta estos hechos, casi el 75% de los encuestados no han tomado ninguna acción para eliminar la CA de origen chino CNNIC de sus sistemas personales ni tampoco los de la empresa para la que trabajan. Debemos recordar que CNNIC está considerada oficialmente como «poco fiable» por Google y Mozilla, en el mes de abril de este año una CA subordinada de CNNIC emitió certificados falsos de Google para varios dominios dentro de una red de prueba. Existen numerosos cursos en Internet de ciberseguridad que puedes hacer.
Os recomendamos visitar nuestra sección de seguridad informática donde tenéis disponible una gran cantidad de manuales para proteger vuestros equipos. Asimismo si te interesa todo el tema de Autoridades de Certificación, firma de claves y revocación de las mismas, os recomendamos visitar nuestro manual de instalación y configuración de OpenVPN donde creamos una CA nosotros mismos para emitir y revocar certificados digitales. Debemos recordar que estos certificados digitales no están firmados por una CA de confianza, sino que son auto-firmados, por lo que si los usamos en un servidor web HTTPS, nos dirá que no son de confianza porque no están reconocidos.