No confíes en los certificados de clave pública, pueden fallar fácilmente

Los certificados SSL/TLS son protocolos que proporcionan seguridad y privacidad en las comunicaciones. Básicamente garantiza que toda la información transmitida entre dos puntos en la red no pueda ser interceptada y modificada por algún intruso no autorizado. Ahora bien, un grupo de investigadores de seguridad han realizado un informe donde alertan de los problemas detrás de estos certificados de clave pública. Indican que se han reportado numerosos casos de fallos a la hora de emitir los certificados y que lógicamente afecta a la seguridad de los mismos.

Los certificados SSL/TLS no siempre son seguros

Concretamente han sido investigadores de la Universidad de Indiana Bloomington. Han llevado a cabo una investigación sobre 379 casos que han sido reportados de fallos a la hora de emitir los certificados. De esta forma han podido sacar cuáles son las causas más comunes y los posibles problemas que pueden ocasionar estos errores.

Hay que tener en cuenta que un certificado de clave pública lo que hace es demostrar que una persona, entidad o un dispositivo son realmente propietarios legítimos de esa clave pública. Estos certificados son emitidos por autoridades de certificación. Actúan para dar fiabilidad a ese certificado, tanto al propietario de un sitio como al visitante, por ejemplo.

Lógicamente estas autoridades de certificación se rigen en una serie de pautas esenciales para que todo el proceso sea seguro. Es importante que no haya fallos que puedan comprometer la seguridad y privacidad. Ahora bien, los errores existen. Así lo demuestra este grupo de investigadores que afirma que los certificados de clave pública pueden no ser seguros y contener problemas.

Certificados de seguridad

Principales causas de los errores de certificación

La investigación ha demostrado que hay algoritmos frágiles y diferentes vulnerabilidades derivadas de la propia implantación de esos algoritmos o de los propios sistemas. Principalmente explican que hay errores de software, incumplimiento por parte de las propias autoridades de certificación de ciertos requisitos, así como de los propios programas raíz (empresas como Microsoft, Apple o Google, entre otras).

En definitiva, los investigadores de la Universidad de Indiana Bloomington llegaron a la conclusión de que los certificados de clave pública no tienen que ser necesariamente seguros y fiables. Podemos toparnos con casos como los que se han reportado en los que hay fallos. Estos errores a la hora de emitir los certificados pueden ser diversos y generalmente es debido a fallos en el software o que se incumplan ciertos requisitos.

Ya sabemos que la seguridad y privacidad son factores muy importantes para los usuarios. Esto hace que los propios desarrolladores busquen la manera de asegurar el software que crean, así como los medios para transferir información. Hay muchas herramientas que pueden ayudarnos a ello, aunque no siempre estará en nuestras manos que funcione correctamente.

Especialmente a la hora de transferir información personal los certificados van a ser fundamentales. Ahí es donde entra en juego SSL/TLS. Tiene como objetivo el envío de información confidencial, lo que incluye datos personales, contraseñas, métodos de pago…