Un certificado raíz es un aspecto integral de la seguridad de internet.  ¿Pero qué sucede cuando un gobierno lo usa mal para espiarlo?

¿Qué es un certificado raíz y cómo se puede usar para espiarlo?

Anuncio Los medios de comunicación informaron en 2019 que el gobierno de Kazajstán ha tomado medidas extremas para vigilar a los ciudadanos de su país. En particular, el gobierno ha estado utilizando una herramienta llamada certificado raíz para espiar las actividades en línea de los ciudadanos. Sin

Anuncio

Los medios de comunicación informaron en 2019 que el gobierno de Kazajstán ha tomado medidas extremas para vigilar a los ciudadanos de su país. En particular, el gobierno ha estado utilizando una herramienta llamada certificado raíz para espiar las actividades en línea de los ciudadanos.

Sin embargo, el mal uso de los certificados raíz no es solo un problema en Kazajstán. Los usuarios de Internet de todo el mundo deben ser conscientes de cómo se pueden utilizar mal las herramientas de seguridad. Estas herramientas pueden comprometer la privacidad y recopilar datos sobre los sitios que visita y los mensajes que envía en línea.

¿Qué es un certificado raíz?

Certificados raíz: icono del navegador

Cuando navega por un sitio web como MakeUseOf, verá que la URL comienza con https en lugar de http . También verá un icono que parece un candado junto a la URL en la barra de direcciones. Esto significa que un tipo de cifrado llamado Secure Socket Layer / Transport Layer Security (SSL / TLS) protege el sitio web.

Con este cifrado, los datos pasados ​​entre usted y el sitio web son seguros. Por lo tanto, puede estar seguro de que el sitio al que está accediendo es el MakeUseOf real y no un sitio impostor que intenta robar sus datos.

Para obtener ese símbolo de bloqueo en el que los usuarios pueden confiar, los propietarios del sitio pagan a una organización llamada Autoridad de certificación (CA) para verificarlos. Cuando una CA verifica que un sitio es auténtico, emite un certificado de seguridad . Los desarrolladores de navegadores web como Firefox y Chrome mantienen una lista de CA confiables cuyos certificados aceptan.

Entonces, cuando visita un sitio como MakeUseOf, su navegador encuentra el certificado, verifica que proviene de una CA de confianza y muestra el sitio seguro.

Un certificado raíz es el nivel más alto de certificado de seguridad disponible. Es importante porque este "certificado maestro" verifica todos los certificados debajo de él. Esto significa que la seguridad del certificado raíz determina la seguridad de un sistema completo. Los desarrolladores usan certificados raíz por muchas razones válidas.

Sin embargo, cuando un gobierno u otra entidad hace un mal uso de los certificados raíz, pueden instalar spyware en comunicaciones cifradas y acceder a datos privados.

¿Cómo está haciendo mal uso el Gobierno de los certificados de raíz en Kazajstán?

Certificados de raíz - Kazajstán

En julio de 2019, el gobierno de Kazajstán emitió un aviso a los proveedores de servicios de Internet (ISP) en el país. El gobierno dijo que los ISP tenían que hacer que la instalación de un certificado raíz emitido por el gobierno fuera obligatorio para que los usuarios pudieran acceder a Internet. El certificado emitido por el gobierno se llama "Qaznet" y se describe como un "certificado de seguridad nacional".

Los proveedores de servicios de Internet (ISP) ordenaron a sus clientes que instalaran el certificado si querían acceder a Internet.

Una vez que se instala el certificado, el gobierno puede usarlo para interceptar una gran cantidad de datos de navegación. El gobierno puede ver actividad en sitios populares como Google, Facebook y Twitter. Incluso puede descifrar conexiones HTTPS y TLS, y acceder a nombres de usuario y contraseñas.

Esto significa que ningún sitio es seguro si el certificado está instalado.

El gobierno está lanzando esencialmente un "hombre en el medio". ¿Cómo millones de aplicaciones son vulnerables a un solo hack de seguridad? ¿Cómo millones de aplicaciones son vulnerables a un solo hack de seguridad? OAuth es un estándar abierto que le permite iniciar sesión en una aplicación de terceros o sitio web mediante el uso de una cuenta de Facebook, Twitter o Google, y es vulnerable a los piratas informáticos. Leer más "ataque en todo el país, según el blog de seguridad The Hacker News. Debido a que los ISP hacen obligatorio el certificado, no hay forma de que los usuarios lo eviten fácilmente si desean continuar accediendo a Internet.

Además, las personas solo pueden instalar el certificado a través de una conexión que no sea HTTPS. Una persona debe usar una conexión HTTP menos segura para instalar el certificado. Y los hackers podrían interceptar este proceso para instalar su propio certificado perjudicial.

¿Cómo responden las empresas tecnológicas a los certificados de raíz invasiva?

Empresas tecnológicas como Google, Apple y Mozilla han respondido a la situación en Kazajstán. Se han comprometido a proteger a los usuarios contra la vigilancia del gobierno. El navegador Google Chrome ahora bloquea el certificado utilizado por el gobierno de Kazajstán, según una publicación de blog.

Google ha tomado esta medida "para proteger a los usuarios de la intercepción o modificación de las conexiones TLS realizadas a los sitios web". Los usuarios no necesitan realizar ninguna acción para estar protegidos. El navegador bloqueará automáticamente este certificado en particular.

Del mismo modo, Mozilla ha implementado una solución para su navegador Firefox. Esta solución también bloqueará el certificado utilizado por el gobierno de Kazajstán. La compañía anunció la solución con un ingeniero senior de la compañía que declaró: "No tomamos acciones como esta a la ligera, pero la protección de nuestros usuarios y la integridad de la web es la razón por la que Firefox existe". Trabajando en conjunto con Chrome, Firefox lo hará. Aplicar automáticamente el bloque.

Mozilla también mencionó casos pasados ​​de intentos del gobierno de Kazajstán de interceptar el tráfico de Internet. Esto incluye un intento fallido anterior de incluir un certificado raíz en el programa de la tienda raíz de confianza de Mozilla en 2015.

¿Qué puede hacer sobre el mal uso de los certificados raíz como usuario?

El mal uso de los certificados raíz es obviamente preocupante. Pero, ¿qué puedes hacer al respecto como usuario? En primer lugar, si se encuentra en Kazajstán, no debe instalar el certificado en su dispositivo. Si ya lo instaló, desinstálelo de inmediato. También debe cambiar las contraseñas de todas sus cuentas en línea. Esto evitará que el gobierno acceda a sus datos de navegación.

Si vive en un país con altos niveles de vigilancia en Internet, debe estar atento a los certificados dudosos. Si se le solicita que instale un certificado de seguridad, debe investigar si es confiable antes de instalarlo en su dispositivo.

También debe tomar otras medidas para proteger sus datos. Debe usar una VPN para protegerlo de la vigilancia 3 formas en que una VPN puede protegerlo del panóptico de vigilancia de Big Brother 3 formas en que una VPN puede protegerlo del panóptico de vigilancia de Big Brother ¿No está convencido de que necesita una VPN? Aquí hay tres razones sorprendentes por las que una red privada virtual debería ser la piedra angular de su seguridad. Lee mas . Considere también el uso del navegador Tor 7 consejos para usar el navegador Tor de manera segura 7 consejos para usar el navegador Tor de manera segura ¿Está pensando en probar el navegador Tor para comenzar a navegar por la web de manera segura? Aprenda estos dos y qué no hacer del navegador Tor antes de comenzar. Lea más para acceder a Internet de forma anónima. Tenga cuidado con el correo electrónico también, ya que es muy difícil proteger los mensajes de correo electrónico de la vigilancia. Considere usar una aplicación de mensajería segura como Signal o Telegram.

Aprenda sobre cómo los gobiernos lo espían en línea

La situación en Kazajstán es solo un ejemplo de cómo los gobiernos pueden espiar a sus ciudadanos a través de sus actividades en Internet. Debe aprender cómo los gobiernos y las empresas pueden implementar técnicas de vigilancia para poder evitarlas.

Para que no piense que esto es solo un problema en otros países, recuerde que lugares como los Estados Unidos y el Reino Unido también tienen un historial de espiar a sus ciudadanos. Como recordatorio, puede obtener información sobre las veces que sus datos se entregaron de manera sorprendente a la NSA 5 veces Sus datos se entregaron de manera sorprendente a la NSA 5 veces Sus datos se entregaron de manera sorprendente a la NSA Muchas empresas entregan información a la NSA sin un segundo pensamiento. Aquí hay algunas organizaciones de alto perfil que le dieron acceso a la NSA a los datos del usuario. Lee mas .

Explore más sobre: ​​HTTPS, Certificado de seguridad.