La mayoría de las personas saben que deben ubicar un icono de un candado en algún rincón de sus navegadores cuando realizan operaciones online bancarias o confidenciales de otra índole. En parte, esto significa que la página tiene un certificado que ha sido verificado por una autoridad superior para confirmar su identidad. Recientemente, sin embargo, un grupo de investigadores de seguridad han encontrado que un sistema de seguridad primordial puede minarse si se aprovechan los algoritmos viejos que utilizan algunas empresas para crear esos certificados. A fines de diciembre, un grupo de investigadores de seguridad diverso de Estados Unidos y Europa, presentó los detalles del ataque en el 25to. Congreso Anual de Caos en la Comunicación que se realizó en Berlín.

El candado es parte de un protocolo clave de la seguridad online llamado SSL (Capa de Conexión Segura), y cuando aparece, asegura que la operación estará libre de detecciones a escondidas, manipulación o falsificación. Con mucha facilidad, un hacker puede crear una página bancaria que parezca verdadera, pero es muy difícil falsificar el certificado digital que acompaña la página. Esto se debe a que el SSL utiliza un truco ingenioso para crear cada certificado: son dos claves unidas matemáticamente, una de las cuales es secreta y la otra se publica abiertamente en Internet.

Un grupo selecto de autoridades superiores, conocidos como las autoridades certificadoras, puede verificar la identidad de la página. Una autoridad lo hace al cotejar que la página sea genuina antes de combinar su clave privada con la clave pública de la página, para así, crear el certificado. Una parte principal de este procedimiento, también involucra aplicar lo que se conoce como función resumen para generar una identificación única para el certificado. Cualquiera que visite la página puede verificar que el certificado es genuino y remitirse a la clave pública de la autoridad certificadora.

Paul Kocher explica que todo esto ocurre entre bambalinas, y los navegadores populares como el Internet Explorer y Firefox tienen confiabilidad incorporada ante ciertas autoridades certificadoras. Kocher es el presidente y científico principal de una empresa de seguridad Cryptography Research, quien estuvo involucrado en la última versión del SSL. Cualquier certificado que pueda rastrearse hasta una de las autoridades queda aceptado automáticamente por el navegador. “Todo el modelo de confianza del navegador se basa en que todas las autoridades certificadoras actuen correctamente”, hace notar Kocher.

Sin embargo, algunas autoridades certificadoras todavía utilizan una función resumen llamada MD5 para producir identificaciones de certificados. La mayoría de las autoridades dejaron el MD5 porque los investigadores demostraron que es vulnerable a lo que llaman una colisión: bajo determinadas circunstancias, es posible producir dos certificados que generen exactamente la misma identificación digital.

El valor de una función resumen desaparece si resulta fácil producir dos certificados con la misma huella digital, explica Marc Stevens, un estudiante de doctorado en el grupo de seguridad informática y de criptología en el Centrum Wiskunde & Informatica, en los Países Bajos, cuyo trabajo sobre el MD5 fue crucial para la investigación. Durante varios años, Stevens ha estado produciendo colisiones utilizando MD5. Lo hizo uniendo la capacidad de procesamiento de 200 consolas de Play Station 3. La arquitectura de los microprocesadores de estas máquinas es apta para el tipo de cálculos necesarios en el trabajo de Stevens.  Éste, dice que se necesitarían alrededor de 8.000 PCs para equilibrar el poder que abastecen las Play Station. Utilizando ese hardware, en un fin de semana, el equipo pudo realizar los cálculos necesarios para realizar el ataque.

Para realizar el ataque, el equipo creó un certificado normal y lo hizo firmar por una autoridad certificadora que todavía utiliza los MD5. Sin embargo, el equipo había manipulado una colisión para que creara un segundo certificado, “un mellizo maldito”, que tenía la misma identificación del primero y que también parecía decir que la autoridad certificadora original había delegado sus poderes de autorizar certificados al propietario del mellizo maldito.

A partir de ahí, el mellizo maldito podía utilizarse para crear certificados de cualquier página en Internet, permitiendo que un individuo malicioso representara el papel de páginas bancarias confiables, con el icono del candado y todo lo demás, sin disparar las alarmas que están para proteger a los usuarios.

RapidSSL, una autoridad certificadora perteneciente a Verisign, emitió certificados MD5 que el equipo utilizó. El investigador de seguridad independiente,Alexander Sotirov, que ayudó a convertir la tarea teórica sobre el MD5 en un ataque verdadero, dice que el ataque fue posible no sólo debido a los MD5 sino también a la poca seguridad con que RapidSSL emite los certificados, lo que facilita producir una colisión.

Verisign anunció que RapidSSL había pasado a tener una función resumen más segura, sólo seis horas después que los investigadores hicieron su presentación. Tim Callan, vicepresidente de mercadeo de productos para Verisign, explica que la empresa había estado trabajando sobre esa cuestión desde que había comprado RapidSSL en 2006. Callan dice, sin embargo, que la empresa procedió con cautela porque no quería alterar los servicios SSL que ya les ofrecía a sus socios. “Si eres arbitrario o caprichoso con ello, lo que pasa luego es que la gente responderá utilizando alternativas de menos seguridad”, dice Callan.

Sotirov reconoce que Verisign actuó rápidamente ante el ataque, pero dice que la infraestructura actual de los certificados “no está funcionando nada bien”. Agrega, “Preocupa que tantas autoridades certificadoras disfruten del mismo nivel de confianza”, particularmente cuando distintas autoridades utilizan distintos estándares para verificar las identidades de los clientes potenciales y asegurar los certificados que emiten. Sotirov dice que las fuerzas del mercado, que premian a las autoridades certificadoras por tiempos de respuesta rápidos y precios bajos más que por buena seguridad, están creando una “carrera para igualar hacia abajo”, que aumenta las posibilidades de que surjan problemas de seguridad en el futuro.

Sam Curry, el vicepresidente de administración de productos para la empresa de seguridad RSA, que hace alrededor de una década desistió de los MD5 en sus autoridades certificadoras, dice que piensa que es importante que las empresas mantengan la hipótesis de posibles ataques antes de que se transformen en verdaderos. “De alguna manera, estoy contentísimo de que la gente encuentre estas debilidades teóricas, porque significa que realmente estamos haciendo pruebas reales, y que realmente estamos preocupados por ello. No estoy contentísimo cuando los ataques verdaderos funcionan, ya que es, entonces, cuando se le hace daño a la gente”, comenta.

Pero Kocher dice que es poco probable que los usuarios medios se vean afectados. Mientras que las autoridades certificadoras deben prestar atención especial al ataque de los investigadores, él dice que, desafortunadamente, hay modos mucho más fáciles de estafar a los usuarios online.