INTERNET | CiberP@ís

Un ataque pone en duda la seguridad del https

Un ataque, supuestamente efectuado por autoridades iraníes sobre sus internautas, ha puesto en duda la seguridad del protocolo https, la versión segura del http, que permite el cifrado de los datos que se envían desde el propio ordenador a los servidores en línea, y que utilizan sobre todo bancos y tiendas para proteger los datos de sus clientes. Ese caso de espionaje se produjo gracias a un engaño a una de las 650 agencias que regularmente emiten unos 1.500 certificados de autenticidad para esas páginas web cifradas, que cientos de miles de internautas usan a diario.

Esa arquitectura utiliza un cifrado, Capas de Conexión Segura (SSL, por sus siglas en inglés) y Seguridad de Capas de Transporte (TLS), dos protocolos que crean un canal de comunicación segura. En las conexiones https, un navegador solo mostrará sin problemas o alarmas la página web si esta incluye un certificado de seguridad firmado por una tercera parte: una agencia independiente que garantiza la autenticidad de la propia página. Esta arquitectura se diseñó en los años noventa.

Demasiadas agencias

El problema, según han denunciado varios analistas tras conocer este ataque, es que hay demasiadas agencias que emiten certificados. Fue Comodo, una empresa de software de seguridad que a la vez actúa como agencia de certificación, la que admitió que su sistema había emitido certificados seguros a páginas web de Google, Yahoo!, Microsoft, Mozilla y Skype, todos de forma no adecuada, a direcciones localizadas principalmente en Irán. Con ellos, un pirata podía hacerse pasar por esas compañías, aunque estuviera redirigiendo el tráfico web a páginas de su propia creación. Con los certificados, los atacantes podían crear páginas fraudulentas que por su diseño parecieran verdaderas y desde las que se pudiera espiar las comunicaciones de los internautas. Para eso, se necesita la capacidad de redirigir direcciones IP, algo que solo pueden hacer las compañías telefónicas proveedoras de conexión, que en Irán están en manos del Gobierno. Al averiguar que había sido víctima de un engaño de esas dimensiones, Comodo revocó los certificados, notificó a las páginas web que habían sido suplantadas y presentó un informe ante el Gobierno de EE UU para que tome medidas.

Tu suscripción se está usando en otro dispositivo

¿Quieres añadir otro usuario a tu suscripción?

Añadir usuario Continuar leyendo aquí

Si continúas leyendo en este dispositivo, no se podrá leer en el otro.

¿Por qué estás viendo esto?

Flecha

Tu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.

¿Tienes una suscripción de empresa? Accede aquí para contratar más cuentas.

En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.