Revelan el alcance de los importantes ataques a Verisign en 2010
- Tras una intrusión, se accedió a los servicios de DNS y de certificados digitales
- El atacante podría redirigir a sitios de imitación, o crear certificados falsos
- Verisign no comunicó la intrusión hasta hace poco y no han dado detalles
La compañía Verising sufrió un ataque en 2010 a gran escala en sus servidores, que culminó con una intrusión importante en diversos sistemas de la compañía.
Así lo ha revelado la agencia Reuters a partir de montañas de información que la compañía Verisign tuvo que presentar a las autoridades norteamericanas.
Aunque no se conoce con gran detalle su alcance, y la empresa ha echado balones fuera con sus declaraciones, al menos ha confirmado que entre los sistemas atacados estaban los servidores del Sistema de Nombres de Dominio (DNS) y los certificados seguros (SSL).
Ambos son sistemas que millones de empresas y cientos de millones de usuarios de todo el mundo emplean en sus transacciones. La noticia había pasado un poco por alto sin levantar demasiado revuelo básicamente porque la compañía ocultó la información.
“La noticia había pasado un poco por alto porque la compañía oculto la información“
Pero al cambiar la normativa norteamericana de las empresas cotizadas en bolsa sobre temas de 'intrusiones y seguridad' tuvo que presentarlos hace unos meses.
Reuters revisó más de 2.000 documentos de este estilo hasta encontrar el dato, que ha sido revisado por expertos en seguridad de todo el mundo y considerado cuando menos como 'un problema grave'.
El riesgo crece y las garantías disminuyen
El problema puede resumirse con una frase: operar en el banco hoy es menos seguro de lo que era ayer. Lo mismo sucede con comprar en las tiendas de Internet (aunque tengan el 'candadito') y otro tanto con visitar servicios web y registrarse en ellos: simplemente, hay menos garantías que hace unos días.
Y todo porque esos han sido precisamente los sistemas atacados: los que garantizan la seguridad e identidad de los sistemas seguros y los que confirman la identidad, nombres y marcas de los sitios web que se visitan.
Pero que no cunda el pánico: el problema ocurrió hace mucho tiempo y no parece que en este tiempo los atacantes hayan podido 'hacer el mal' con sus acciones, o ya habrían saltado muchas más alertas y avisos públicos.
“No parece que los atacantes haya podido sacar provecho de su intrusión“
Una de las declaraciones de un ex secretario del Departamento de Seguridad Nacional de Estados Unidos al conocer el incidente fue un escueto 'Oh, Dios mío', lo cual puede dar una idea de la magnitud del problema.
Los expertos en seguridad informática de diversas empresas, publicaciones especializadas y blogs también coinciden que en el tema es grave y no una chiquillada que pase todos los días.
Primer problema: los nombres de dominio
Los dos principales problemas producidos por esta situación son fáciles de entender: el sistema de nombres de dominio, comprometido.
Los nombres de dominio son las direcciones de Internet como 'rtve.es' o 'google.com' que todos conocemos. Cuando tecleamos estas direcciones en el navegador se traducen a una especie de matrícula o número telefónico, como 217.15.42.90. Esa labor la realiza un sistema llamado DNS (Sistema de Nombre de Dominios).
“Podrían, teóricamente, copiar el aspecto de sitios como Facebook, Amazon o el Bank of America“
Al haber quedado comprometidos los servidores del DNS -aunque no se sepa hasta qué punto- una de las situaciones podría ser que los atacantes dirigieran a servidores falsos a las personas que intentan navegar por sitios conocidos.
Podrían, teóricamente, copiar el aspecto de sitios como Facebook, Amazon o el Bank of America y esperar a que la gente llegara a operar normalmente.
De ese modo podrían capturar miles de nombres y contraseñas en cuestión de minutos; también emitir correos falsos en su nombre y cosas parecidas.
Segundo problema: los certificados digitales
Los certificados digitales, sin garantías de seguridad. En Internet hay toda una jerarquía de los llamados 'certificados digitales' para garantizar que un sitio web es quien dice ser y pertenece a una entidad real perfectamente comprobada.
Cuando se llega a las páginas de Iberia para realizar una compra de un billete de avión, por ejemplo, aparece un candadito que indica que ese sitio realmente pertenece a la compañía Iberia.
Esto es posible porque ese servidor ha obtenido unas claves secretas de una entidad certificadora (en España, normalmente, la Fabrica Nacional de Moneda y Timbre) que es imposible de falsificar, y que a su vez está certificado por una entidad superior de Internet.
Todos esos certificados guardan una jerarquía y están distribuidos por Internet y se pueden comprobar con los navegadores de los usuarios, que saben qué entidades tienen mayor responsabilidad en la jerarquía.
“Los certificados digitales garantizan que un sitio web es quien dice ser“
Esos certificados circulan automáticamente entre el usuario y los sitios web por los que navega mediante un protocolo llamado SSL.
El problema es que si alguien toma el control de esos procesos y ha podido comprometer los certificados de la principal autoridad certificadora… surge un problema de confianza: alguien podría crear certificados falsos para empresas conocidas, haciéndose pasar por Paypal, el Banco de Escocia o cualquier otra entidad, bancaria, tienda o negocio.
Bastaría crear una nueva web en un dominio cualquiera -lo cual es casi trivial- y llevar allí a la gente a través de correos engañosos o enlaces para recopilar todos sus datos.
Nada nuevo bajo el sol
Ninguno de estos problemas es nuevo en realidad: ya ha habido problemas similares en el pasado que al final se han saldado sin mayores dramas.
Desde luego no parece que vaya a suponer una debacle de los sistemas de Internet, aunque es el tipo de problema que podría llevar a esa situación.
La mayor confusión en este caso la ha causado la ocultación y desinformación durante un largo periodo de tiempo (más de un año) de todo lo sucedido, y que a día de hoy no se conoce todavía el alcance con todo detalle.
A las autoridades norteamericanas les preocupa también saber quién estuvo detrás del ataque: si fue una acción de algún pequeño grupo de crackers, si fue un grupo organizado o incluso si pudiera tratarse de algún país extranjero con grandes recursos embarcado en la conocida como 'ciberguerra fría'.
La solución es simple: más información sobre las intrusiones, más completa y más honesta. Solo así se pueden tomar contramedidas una vez que el daño se ha producido.
Aunque para muchas empresas esto es el procedimiento habitual, a otras habrá tal vez que 'animarlas' con leyes y normas más estrictas.
Mientras tanto, aunque hoy estamos un poquito más inseguros que ayer -debido a algo que pasó hace un año- parece que la sangre no ha llegado al río y que lo que fuera que sucediera en 2010 no ha tenido, de momento, transcendencia en las webs que usamos a diario.