Google anuncia ciberataque por la internet china

29 de Marzo de 2015 5:10 PM Actualizado: 29 de Marzo de 2015 5:10 PM

Una autoridad de la internet china responsable de garantizar la seguridad de la red mundial comprometió esa seguridad, según el gigante de búsquedas Google.

Google anunció en su blog de seguridad el 23 de marzo que tres días antes, “se dieron cuenta de certificaciones digitales no autorizadas en varios dominios de Google”. Las certificaciones fueron emitidas por los MCS Holdings con sede en Egipto.

MCS Holdings está a su vez operado por el Centro de Información de Internet China (CNNICC). Desde 2010, la CNNICC se concedió la autoridad de los principales navegadores web para emitir certificaciones.

La estructura de la Internet se basa en el uso de certificados. Cada sitio web tiene uno, y los navegadores de Internet se basan en el certificado para verificar que el sitio web que el usuario está buscando es el que dice que es.

La importancia de un certificado de seguridad en Internet no puede ser subestimada, según James Gabberty, profesor de sistemas de información en la Universidad Pace en Nueva York.

“Esto sustenta todo”, dijo Gabberty en una entrevista telefónica. “Las autoridades de certificación son la clave de todo. De lo contrario no hay confianza en Internet. Un sitio que se parece a un sitio válido podría ser falso y ni siquiera lo sabrías”.

Si las autoridades de certificación violan la confianza del usuario, como CNNIC supuestamente lo hace, añadió, “toda la estructura de comercio electrónico Web como la conocemos se rompe, porque significa que no puedes confiar en nadie. La protección de estos certificados es la prioridad número uno”.

Man in the Middle (robar datos al usuario en un sitio web que se cree es seguro)

Mozilla, que opera el popular navegador Firefox, también escribió sobre la brecha de seguridad en su blog de seguridad. Declaró que el certificado corrupto de CNNIC estaba siendo utilizado para realizar ataques man-in-the-middle, que es exactamente el tipo de ataque que Gabberty advirtió.

En un ataque man-in-the-middle, un usuario abre un sitio web que parece seguro, pero ese sitio web se utiliza para robar datos del usuario.

CNNIC estaba siendo utilizado, de acuerdo con Mozilla, “con el fin de generar certificados para dominios que el propietario del dispositivo legítimamente no posee o controla”. En otras palabras, se está utilizando para suplantar sitios web que no pertenecen a ella. Todavía no está claro en contra de qué sitios web fue utilizado.

El incidente demostró una preocupación de mucho tiempo acerca de CNNIC, respaldada por varios expertos en seguridad. La empresa china es capaz de emitir certificados de seguridad, y en el último incidente, como Google declaró: “los malos certificados emitidos –serían de confianza por casi todos los navegadores y sistemas operativos”.

Google avisó a CNNIC y a otros navegadores principales, y bloqueó el abusivo certificado MCS Holdings.

Google dijo que CNNIC lo contactó el 22 de mayo y afirmó que contactó a MCS Holdings, que a su vez dijo que había mantenido las claves privadas en un servidor proxy man in the middle  que puede “interceptar conexiones seguras haciéndose pasar por el destino previsto y se utiliza a veces por las empresas para interceptar el tráfico seguro de sus empleados para monitoreo o por razones legales”.

“Las computadoras de los empleados normalmente tienen que ser configuradas para confiar en un servidor proxy para que sea capaz de hacer esto”, declaró Google. “Sin embargo, en este caso, al presunto servidor proxy se le dio toda la autoridad de una (CA) autoridad de certificación pública, que es una grave violación del sistema CA”.

Google señala que a pesar de que CNNIC fija la culpa a MCS Holdings, “CNNIC todavía delegó su autoridad sustancial a una organización que no era apta para hacerlo”.

En otras palabras, CNNIC es responsable de la piratería realizada por MCS Holdings, a pesar de que CNNIC culpa a su filial. MCS Holdings estaba usando un sistema prohibido que le permitió interceptar el tráfico seguro de los usuarios.

Google dijo que actualmente no existe evidencia de que los certificados fueron abusados, y no está aconsejando a los usuarios de que cambien sus contraseñas en este momento.

Sin embargo añadió, “En este momento estamos considerando qué otras medidas son apropiadas”.

Un historial

La organización de libertad en Internet GreatFire.org advirtió durante años los riesgos de seguridad que presenta CNNIC, y su presencia aprobada en el software de Google, Microsoft, Apple y Mozilla.

GreatFire escribió en su sitio web que desde 2013 se pidió a las principales empresas de software revocar los certificados emitidos por el CNNIC. “Lo más notable”, ellos escribieron, “hemos planteado esta cuestión cuando se informó sobre la Administración ciberespacio de China (CAC) de ataques man-in-the-middle (MITM) a Google, Microsoft Outlook, Apple, Yahoo y Github”.

Greatfire declaró el último caso como “evidencia definitiva de que CNNIC estaba detrás de un nuevo ataque MITM a Google”.

“CNNIC es o cómplice de los recientes ataques MITM o permitió que intencionalmente estos ataques sucedan”, declaró. “Hemos sido testigos de las autoridades chinas que utilizan ataques MITM en contra de Apple iCloud, Google, Microsoft’s Outlook y Yahoo en sólo este mes”.

Ya en 2014, GreatFire advirtió que “CNNIC implementó (y trató de enmascarar) la censura en Internet, produjo malware y tiene prácticas de seguridad pésimas”. Señaló que en China, muchos usuarios expertos en tecnología han advertido de manera similar sobre CNNIC.

Una de las deficiencias clave en la estructura CNNIC es el hecho de que el director de la compañía es también unalto funcionario del Partido Comunista chino a cargo de la censura en Internet, Lu Wei.

Lu es el director de la oficina general del Grupo de Mando Central para la seguridad e información de Internet, el cual maneja la Internet en China, y es el jefe adjunto del Departamento Central de Propaganda.

GreatFire presume en un comunicado de prensa que Lu Wei, y su Administración ciberespacio de China (CAC), son “cómplices de los ataques a las propiedades de Internet extranjeras en el pasado”.

“Ahora tenemos pruebas concretas, lo que demuestra que la CAC y CNNIC están detrás de estas acciones maliciosas y están poniendo en peligro la seguridad y la seguridad en Internet para todos”, afirmó.

Cómo puede usted ayudarnos a seguir informando

¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.