Los certificados HTTPS emitidos por Let’s Encrypt son utilizados en páginas web fraudulentas

Escrito por Rubén Velasco

Internet está lleno de amenazas y peligros para los usuarios. Cuando visitamos una página web podemos saber si esta es legítima comprobando si tiene un certificado digital correctamente firmado, pudiendo navegar por ella de forma segura a través de HTTPS. Hasta ahora, obtener un certificado digital suponía un proceso bastante complejo y había que pasar una serie de pruebas para demostrar que la web era legítima y segura, sin embargo, el lanzamiento de Let’s Encrypt ha supuesto un antes y un después en términos de seguridad.

Hace algunas semanas hablamos de Let’s Encrypt, una nueva plataforma que permitía a cualquier usuario conseguir de forma totalmente gratuita y muy sencilla certificados digitales legítimos para sus páginas web de forma totalmente gratuita. Gracias a ellos, cualquier usuario podría configurar una conexión HTTPS con una firma digital que demuestre la legitimidad del sitio web y brinde a los usuarios una sensación de seguridad dentro del portal. Sin embargo, como ocurre siempre, siempre que aparece algo bueno hay quienes lo convierten en algo malo y peligroso.

Varios expertos de seguridad advierten sobre el aumento exponencial de certificados emitidos por Let’s Encrypt que son utilizados por piratas informáticos para establecer conexiones seguras con sus servidores maliciosos, pudiendo llevar a cabo diferentes campañas maliciosas sin levantar apenas sospechas. Un ejemplo de esto se pudo ver el pasado 21 de diciembre de 2015, cuando se empezó a utilizar un certificado emitido por esta entidad para redirigir a los usuarios hacia un servidor controlado por piratas informáticos y distribuir exploits del kit Angler con los que conseguir infectar a los usuarios con un troyano bancario que se ha tomado ya miles de víctimas.

La técnica que han utilizado los piratas informáticos para llevar a cabo estos ataques se conoce como “domain shadowing“. Estos piratas informáticos son capaces de crear distintos subdominios detrás de un dominio legítimo, pero en realidad estos subdominios están alojados en un servidor controlado por los atacantes. Por ejemplo, en este caso anterior los atacantes crearon el dominio ad.web_legitima.com que, aunque aparentemente parece un servidor publicitario, en realidad es un dominio controlado por piratas.

Certificado Let's Encrypt

Analizando los paquetes de tráfico, podemos ver cómo el servidor malicioso es capaz de analizar nuestro sistema en busca de nuestro software de seguridad y enviar así el exploit más adecuado que permita la instalación del troyano bancario.

Malware distribuido a través de HTTPS

La S de las conexiones HTTPS con certificados Let’s Encrypt ya no es tan “Secure”

Hasta ahora, era prácticamente impensable encontrar páginas web que utilizaran certificados HTTPS para llevar a cabo actividades maliciosas ya que en el momento en el que se detectara cualquier actividad sospechosa el certificado se revoca y se añade a la lista negra de los filtros de Internet, sin embargo, los tiempos están cambiando y ahora mismo, tal como hemos podido ver anteriormente, es relativamente sencillo obtener un certificado y utilizarlo en una web libremente, haciendo pensar a los usuarios que sus conexiones son seguras y legítimas cuando realmente no está siendo así.

La mejor opción que se podría llevar a cabo es que las entidades emisoras cancelaran los certificados emitidos que se utilicen con fines maliciosos, como es el caso. Sin embargo, este es un proceso complicado que en la mayoría de las ocasiones no puede llevarse a cabo. Por ello, la única opción que queda para evitar este tipo de amenazas es que los propios administradores web protejan adecuadamente los paneles de control de sus webs para garantizar que ningún pirata informático crea nuevos subdominios ilegítimos sin su conocimiento.

Al mismo tiempo, los usuarios también deben ser conscientes de que un sitio web “seguro” no tiene por qué serlo, y para evitar los ataques con los cada vez más habituales exploits deben asegurarse de utilizar siempre aplicaciones actualizadas a sus últimas versiones y tener instalado un software de seguridad fiable con las últimas firmas de virus con el fin de reducir al mínimo las probabilidades de caer en manos de piratas informáticos.

TrendMicro, empresa de seguridad que ha descubierto estos abusos, ya ha notificado a Let’s Encrypt sobre este abuso, aunque habrá que esperar para ver cómo pueden solucionar este serio problema de seguridad en su entidad certificadora.

¿Qué opinas sobre el abuso de Let’s Encrypt por parte de los piratas informáticos?

Quizá te interese:

Continúa leyendo
  • anoniomo

    Eso pasa por no enseñar correctamente.
    HTTPS no es sinónimo de que la página esté libre de malware o virus. HTTPS es sinónimo de que las comunicaciones con esa página no van a ser interferidas por otros. Pero si te conectas con el diablo, o con tu vecina la del quinto es cosa del usuario.
    HTTPS garantiza comunicaciones seguras, pero el destinatario de las mismas puede seguir siendo un cabroncete. Por muy segura que sea una llamada supongo que no llamarías a un ladrón y le darías tus números de cuenta. Para el ladrón mejor, tiene la certeza que sólo él puede recibir dicha información.

  • Monsam

    Yo creo que me he liado con la noticia por que no veo la.relación del titular con lo explicado…

    No lo entiendo. La vulnerabilidad explotada es el fallo en el registro de subdominios. El fallo no está en la creación del certificado https ni que no sea legítimo. El certificado es legítimo del malo maloso y corresponde para el cual ha sido hemitido.

    De hecho los datos en transito son cifrados y seguros para el usuario y también el usuario puede estar seguro de que está accediendo a la web para la cual se ha emitido el certificado.

    Hay muchísimas CAs que con sólo solicitar en certificado desde la máquina, ip y/o un correo correspondiente al dominio/subdominio te emiten el certificado.

    El fallo está en la gestión del subdominio.

    Y con lo del troyano ya me he perdido del todo.

    Creo que el titular no corresponde. Y la alarma no es tal. Esto sigue siendo lo mismo que antes. De hecho hace unos años con un certificado autoformado los navegadores no decían ni mu y el candadito abajo a la derecha ni se veía de lo escondido que estaba en IE.

    Lo que si creo captar es una sensación de que por que ahora poder emitir un certificado legítimo uno mismo,( por que gratuita ya existía), los malos van a suplantar etc…

    Eso sí, por lo menos la noticia conciencia y habla de los certificados y que tenemos que ser cautos.

    Si alguien puede echar otro enfoque o explicación a lo mejor ….

  • Nova6K0

    La verdad eso le puede pasar a cualquier entidad certificadora. No es un problema exclusivo de Let´s Encrypt. No en vano el problema no es el certificado en sí sino el uso del mismo, por parte de terceros.

    Y tampoco es hasta ahora, quiero decir que esto siempre fue un problema (recordemos DigiNotar), lo que ocurre es que al crecer el número de conexiones cifradas y certificados de seguridad también ha aumentado quienes las usan para fines ilegítimos.

    En todo caso, como dicen Anoniomo y Monsar, esto no dota de un 100% de seguridad, respecto al uso de estos certificados, porque depende de la persona que los use y para que fines.

    Es más se da a veces la curiosidad que usar una web sin https es más seguro, que usar una https con certificado comprometido. Ya que digamos al usar https con un certificado comprometido, tus datos van directamente a donde quiera la persona que usa dicho certificado.

    Salu2

  • Pingback: Cómo comprobar tu PC en busca de certificados peligrosos como Superfish()

  • Jimmy

    Si soy sincero al 100% me parece un artículo que busca polémica y hace pura demagogia tildando de peligrosos todos los sitios que usan Let’s Encrypt. Los certificados son para cifrar las conexiones, es decir, para que los datos que navegan por la red viajen seguros. Casi nadie mira si el certificado lo ha emitido cierta empresa certificadora, o si es del tipo wildcard, o de los que verifican que es la empresa que dicen ser. La gran mayoría simplemente miran si “tengo el candado o no” cuando voy a hacer la compra.

    Es mucho más el servicio que da que la parte negativa que aporta. Se viene un cifrado masivo de Internet. Habrá que enseñar a los usuarios que hay certificados que verifican a las empresas y otros que no, para que no miren simplemente el “tengo candado o no”.

    De todas formas muy bien argumentado y desarrollado el artículo. Saludos.

    • Hola Jimmy,

      Yo uso estos certificados en mi servidores personales, pero este tema lo ha desarrollado incluso INCIBE, puedes verlo aquí:

      https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/Lets_Encrypt_democratizacion_certificados_SSL

      Hablando exactamente de lo mismo, y seguro que INCIBE busca tan poca polémica como nosotros…creo que no se ha entendido bien la intención.

      • Monsam

        Jolines… Me has quitado el comentario!

        Jajajajaja

        Venía directo a poner el link de Incibe que has puesto.

        +1

        • Es que la intención del artículo no es criticar a Let’s Encrypt, de hecho me parece uno de los mejores proyectos del 2015, y respaldado por las grandes empresas. Simplemente nos limitamos a informar que ahora los cibercriminales lo tendrán aún más fácil para hacer pasar una web como legítima…

  • Xavi

    Curioso que venga la noticia desde Trend Micro, parte implicada en el pastel de los ssl de pago.

    Secundo la opinión del compañero, no veo que diferencia de seguridad pueda haber con un SSL de menos de 5€ de esos que ahí por ahí cuya única verificación es un mail y el pago (que incluso se puede hacer en algunos proveedores en bitcoins)

  • José Sosa

    Que tal Ruben, lamentablemente tu articulo contiene información incompleta sobre los ataques sobre DNS y mas aun sobre los certificados SSL. Empezando desde que existen varios tipos de certificados SSL los cuales se usan para diferentes propósitos y antes de que supongas que la primera entidad certificadora gratuita es culpable de hacer inseguros los sitios web con httpS, sería recomendable que consultes a expertos en la materia, antes de que publicaras artículos que menos precian los esfuerzos de asociaciones reconocidas. Cuando gustes puedo explicarte a detalle todo lo que involucra un certificado SSL y lo que mas afecta a la seguridad de Internet, es una mala educación de seguridad de la información, como por ejemplo este articulo.

    • Rubén Velasco

      No se de dónde te sacas que yo diga que la culpable sea Let’s Encrypt… Yo simplemente dije en enero lo que estaba pasando, y además no me lo inventé yo, sino que en el último párrafo viene un enlace a la fuente, una conocida empresa de seguridad.

  • JOSE SOSA

    Que ironía que hagan una articulo sobre certificados SSL, cuando este sitio no tiene configurado uno.
    Si seguimos la lógica de lo que se escribió en el articulo este blog, es mucho menos seguro.
    Les recomiendo que activen en su sitio web el acceso únicamente por medio de SSL y verifiquen su correcta implementación por medio del validador de ssllabs.

  • Pablo

    Esto es algo que puede pasar con cualquier certificado, emitido por quien sea. La facilidad que permite Let’s Encrypt para conseguir uno está orientada a sitios pequeños donde tengan algún sistema de autenticación de usuario o bien un pequeño e-commerce donde el usuario pueda realizar pedidos.

    Pero lamentablemente como con todo, se puede utilizar para bien o para mal.
    Saludos.

Últimos análisis

Valoración RZ
10
Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7