Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/02/2014
Distribuidos certificados SSL falsos para robar la información
El uso de estos certificados se ha convertido en algo muy importante tanto para los usuarios domésticos como las instituciones que los utilizan.
Los primeros se aseguran que su información se transfiere de forma segura y los segundos se aseguran que esta información no puede ser robada, al menos con facilidad. Sin embargo, el problema aparece cuando se hacen usos de certificados SSL falsos.
Este tipo de certificados posee una doble función hoy en día. Tal y como hemos dicho con anterioridad, su finalidad es proteger la información suministrada por el usuario, pero también resulta muy útil para poder saber la credibilidad que posee un determinado sitio web.
De esta forma, nombres de usuario, contraseñas, correos electrónicos y datos relacionados con las tarjetas de crédito deberían viajar de forma segura entre nuestro equipo y los servidores de las instituciones que lo utilicen.
Sin embargo, expertos en seguridad han detectado que se está inyectando en los sitios web de instituciones gubernamentales, entidades bancarias o redes sociales certificados SSL falsos. La finalidad de esta acción no es otra que la de robar los datos resultantes de la comunicación entre ambos extremos utilizando el ataque man-in-the-middle.
El problema no se encuentra en la navegación web
Como es de imaginar, esto no resulta un problema para la mayoría de los navegadores web actuales, ya que estos son capaces de advertir al usuario cuándo un sitio web utiliza un certificado SSL falso o que presenta algún tipo de anomalía, invitando al usuario a no seguir navegando en el sitio web, evitando que este pueda introducir datos que pudiesen llegar a ser robados.
Tal y como se puede comprobar, en el navegador todo funciona de forma correcta, pero es que el objetivo no son los navegadores, sino las aplicaciones para dispositivos móviles. Estas aplicaciones no alertan de la misma forma que lo hacen los navegadores, y en muchos casos no son capaces de gestionar estos fallos en los que la seguridad de los datos del usuario quedaría dañada.
Cifras muy malas tanto en iOS como en Android
Investigadores han realizado un análisis de un número no conocido de aplicaciones de ambas plataformas. El resultado ha sido bastante preocupante ya que más del 40% de las aplicaciones probadas son vulnerables a este tipo de ataques, siendo incapaces de conocer cuándo un certificado SSL es válido y cuando se trata de una falso diseñado para robar los datos de los usuarios.
Un certificado falso no es suficiente pero es un paso
Evidentemente para llevar a cabo un ataque man-in-the-middle no solo se necesita de un certificados SSL falso, sino que además la persona que ha creado este deberá estar en la misma red local para poder capturar los datos. Como decimos el certificado solo no es suficiente, pero con la costumbre que existe de hacer uso de redes Wi-Fi públicas hoy en día, cualquier día nos podemos encontrar con que hemos sido víctimas de un ataque de este tipo.