Ha pasado poco más de un mes desde que la autoridad de certificaciones Let’s Encrypt abrió su programa beta para ofrecer certificados gratuitos HTTPS al público y los hackers ya han empezado a hacer mal uso del servicio encontrando la manera de utilizar la plataforma para esparcir malware a través de dominios que dan la apariencia de ser seguros.
En diciembre la firma de seguridad Trend Micro identificó a usuarios en Japón introduciendo información maligna a los servidores, dicha información transportaba el troyano que afectó a miles de computadoras con sistema operativo Windows para robar información bancaria de los afectados en dicho país.
De acuerdo con la empresa de investigación los ciberdelincuentes utilizaron una técnica llamada doman shadowing en el que los atacantes que han logrado tener acceso a un dominio confiable, en este caso las páginas oficiales de los bancos, pueden redirigir a los visitantes del sitio a un servidor del que los hackers tienen control y hospedan en otro lugar con fines de ataque. En este caso, al parecer el gancho era una supuesta publicidad del banco que aparecía en la página.
Lo grave es que los usuarios nunca se dan cuenta del peligro ya que los hackers pueden disfrazar su actividad usando un subdominio protegido con certificado de seguridad aparentemente validado por Let’s Encrypt.
De acuerdo con Trend Micro esto pudo haber sido posible debido a que Let’s Encrypt sólo revisa dominios que estén identificados como sitios que van en contra de los estándares de seguridad de navegación API antes de otorgar un certificado. Dada esta situación no es muy difícil para un hacker obtener una licencia y crear subdominios con malware bajo el respaldo de un sitio legítimo.
Esto ha obligado a Let’s Encrypt a revisar nuevamente varios de sus certificados aunque en realidad lo que urge hacer es mejorar el proceso de certificación con la intención de que ningún hacker pueda valerse de un dominio seguro para engañar a la gente pues los daños potenciales pueden tener un alcance más grande que cualquier amenaza.
Hicimos un guía con las herramientas fundamentales y gratuitas para limpiar, acelerar, ahorrar batería y…
Versiones 2.9 y anteriores de la aplicación “PSafe Total” ya no serán actualizadas
Garantiza tu privacidad, aunque te hayan robado el teléfono
Trucos simples pero fundamentales para bloquear los ataques de bandidos a tu teléfono
Aprende también cómo removerlas y a elegir los datos que pueden ser accedidos
Conoce la herramienta que identifica y bloquea enlaces maliciosos en tiempo real