Qué es un certificado raíz y cómo podrían usarlo para espiarte

Qué es un certificado raíz y cómo podrían usarlo para espiarte

Javier Jiménez

La privacidad y seguridad son factores muy importantes para los usuarios. Hoy en día por suerte tenemos una gran variedad de herramientas que podemos utilizar en favor de ambas. La cuestión es que en ocasiones estas opciones pueden volverse en contra de los usuarios. Pueden ser utilizadas por piratas informáticos que busquen atacar nuestros dispositivos y sistemas. También pueden surgir vulnerabilidades que permitan acceder a nuestra información. En este artículo explicamos qué es un certificado raíz y cómo podrían utilizarlo para espiar a los usuarios.

Qué es un certificado raíz

Cuando hablamos de un certificado raíz nos referimos a un certificado de clave pública. Por ejemplo a la hora de navegar por Internet veremos que muchos sitios comienzan por HTTPS y aparece el típico candado que nos indica que ese sitio está cifrado. En este caso hablamos de SSL/TLS. Para tener este certificado ese sitio en concreto debe haber pedido uno a una autoridad de certificación (CA), con el objetivo de que se pueda garantizar la autenticidad. Os dejamos un artículo de cómo ver el certificado SSL en Chrome.

El certificado raíz es el nivel más alto dentro de los certificados. Es decir, es el que verifica de alguna manera que todos los certificados que dependen de él realmente son seguros. Si ese certificado raíz es seguro, fiable, y no se ha robado su clave privada, también lo serán los certificados que se hayan creado en los niveles inferiores.

Entonces, ¿cómo podrían utilizar un certificado raíz realmente para espiar a los usuarios? Vamos a hablar de ello y poner un ejemplo real que ha ocurrido. Es algo que podría afectar a la privacidad de los usuarios y que puedan ser controlados.

Cómo puede poner en riesgo un certificado raíz la privacidad

Cómo podría un certificado raíz afectar a privacidad

Hemos visto que a través de un certificado raíz se puede determinar si otros certificados en un nivel inferior son o no fiables y controlarlos. Por tanto, podemos pensar que si ese certificado raíz se modificada intencionadamente, o su clave privada cae en malas manos, podría estar en peligro la seguridad y privacidad del resto de los certificados emitidos.

Eso es lo que ha ocurrido recientemente en Kazajistán. El gobierno kazajo obligó a los operadores de ese país a instalar un certificado raíz emitido por ellos mismos. De esta forma, los usuarios se conectarían a través de ese certificado de seguridad nacional, como ellos mismos lo llamaron, y todos sus datos podrían ser interceptados y descifrados por el gobierno de manera muy fácil.

Básicamente están utilizando un certificado que salvaguarda la seguridad y privacidad de los usuarios para su propio interés. Podrían, entre otras cosas, ver la actividad de los usuarios en plataformas como redes sociales o incluso descifrar conexiones HTTPS. Como podemos imaginar, todos los datos de los usuarios podrían estar en manos del gobierno.

Hemos visto el caso concreto de cómo utilizan un certificado raíz para espiar a los usuarios en Kazajistán. La cuestión es que llegado el momento cualquier operador, país o incluso grupo de ciberdelincuentes podrían utilizarlos de la misma manera.

Un consejo para evitar ser víctimas de este problema como el que comentamos en Kazajistán es navegar a través de una VPN o utilizar un navegador como Tor. De esta forma nuestra conexión va cifrada, independientemente del certificado raíz que hayan utilizado para que todas las webs con HTTPS fueran vulnerables.