Más de 300 de los expertos en ciberseguridad más respetados del mundo han escrito a las leyes de la Unión Europea para advertir que una reforma legal propuesta que pronto podría convertirse en ley podría socavar fundamentalmente la seguridad en línea.
Organizaciones de la industria, incluidas la Fundación Linux, Cloudflare y Mozilla, enviaron una carta conjunta similar diciendo a las leyes de la UE que las regulaciones propuestas son una “intervención peligrosa” que corre el riesgo de romper el frágil sistema de confianza que sustenta el uso de certificados criptográficos. En la red.
Las cartas fueron motivadas por una propuesta de actualización de las regulaciones eIDAS (Identificación Electrónica, Autenticación y Servicios de Confianza) del bloque que daría a los estados miembros de la UE la capacidad de emitir los llamados Certificados Cualificados de Autenticación de Sitios Web (QWAC).
Estos son efectivamente certificados criptográficos que los navegadores web tendrían la obligación legal de aceptar como válidos, lo que podría allanar el camino para que los gobiernos emitan arbitrariamente certificados que les permitan interceptar el tráfico web cifrado a nivel mundial.
Aunque el texto casi final citado por los firmantes de las cartas no es público, un borrador visto por Recorded Future News corroboró la descripción del artículo 45 de la nueva ley, que dice: “Los certificados calificados para la autenticación de sitios web emitidos de conformidad con el párrafo 1 deberán ser reconocido por los navegadores web”.
Espera, explícamelo suavemente.
Cosa segura. Los visitantes de therecord.media, por ejemplo, ven un icono de candado junto a la URL en su navegador web. Esto indica que el navegador se está conectando al servidor mediante https, una extensión segura del protocolo de transferencia de hipertexto (http) que es básicamente la base de la web.
El protocolo https protege las comunicaciones entre el navegador web y el servidor autenticando la identidad del servidor (es decir, es realmente therecord.media, y no alguien que se hace pasar por nosotros) y cifrando el contenido de la página para que nadie pueda leerlo. interceptar el tráfico de la red.
Si los usuarios hacen clic en el icono de ese candado, su navegador les permite inspeccionar el certificado. Esto mostrará la cadena de confianza mediante la cual se ha verificado el certificado, en este caso con un certificado intermedio de nuestro proveedor de alojamiento Cloudflare hasta la autoridad de certificación raíz DigiCert, que a su vez ha sido examinada por los desarrolladores del navegador para que sepan en qué pueden confiar. Artículo.
En verdad, la gente rara vez inspecciona los certificados, pero la mayoría de los navegadores están diseñados para mostrar advertencias dramáticas (“¡Esta conexión no es confiable!”) cuando detectan que algo anda mal. Este sistema es imperfecto, pero se ha perfeccionado durante la última década y continúa mejorándose en gran medida como resultado de los esfuerzos de la industria. El problema es que la Unión Europea ahora está intentando imponer otro cambio a través de una actualización de su ley eIDAS, y la industria dice que la “mejora” no sólo no funcionará, sino que en realidad hará que las cosas sean menos seguras.
¿Cuál es la mejora?
La actualización reemplaza efectivamente un intento fallido de la industria de mejorar la transparencia de los certificados a través de lo que se conoce como certificado de Validación Extendida (EV). Estos certificados no sólo autenticarían el dominio, sino que también mostrarían quién es el propietario y operador legal del sitio web. Por diversas razones, en particular el gasto que supone validar la propiedad legal, estos certificados de vehículos eléctricos no se han adoptado ampliamente.
Los QWAC propuestos tienen como objetivo permitir a los gobiernos reemplazar la falta de certificados EV para sitios particulares, algo que tiene beneficios obvios considerando la importancia de autenticarse cuando los usuarios web interactúan genuinamente con un servicio gubernamental en lugar de una página de phishing.
Steven Murdoch, uno de los firmantes de la carta y profesor de ingeniería de seguridad en el University College de Londres, explicó: “Hay algunos casos en los que es posible que quieras utilizar tu identidad emitida por el gobierno para hacer cosas, por lo que firmar contratos legalmente vinculantes bajo tu nombre, y el eIDAS realmente se trata de eso, y eso está bien, los gobiernos son las personas que emitirían los certificados para las identidades emitidas por el gobierno.
“Pero el problema de esta propuesta es que se ha extendido a los navegadores web, y no se trata sólo de las firmas digitales que se utilizan para firmar contratos y cosas relacionadas con identidades gubernamentales”, explicó Murdoch.
“Los certificados raíz, controlados por las llamadas autoridades de certificación, proporcionan mecanismos de autenticación para sitios web al asegurar al usuario que las claves criptográficas utilizadas para autenticar el contenido del sitio web pertenecen a ese sitio web. El propietario de un certificado raíz puede interceptar el tráfico web de los usuarios reemplazando las claves criptográficas del sitio web con sustitutos que él controle”, explicaron los investigadores de seguridad.
Se han documentado casos de abuso de este tipo, el más infame en el caso DigiNotar, cuando la autoridad certificadora holandesa fue pirateada, lo que permitió a los atacantes interceptar las comunicaciones entre Google y los usuarios iraníes de Google. Casos similares han afectado a empresas como Comodo y GlobalSign, como escriben los investigadores de ciberseguridad.
La Unión Europea tiene legislación para abordar estos posibles incidentes (la directiva NIS2) que se “complementa con procesos públicos y vigilancia continua por parte de la comunidad de seguridad para revelar actividades sospechosas”, como dice la carta. Sin embargo, tal recurso no sería posible en el escenario de abuso descrito en la carta.
“Le pedimos que reconsidere urgentemente este texto y deje claro que el artículo 45 no interferirá con las decisiones de confianza en torno a las claves criptográficas y los certificados utilizados para proteger el tráfico web”, afirma la carta firmada por más de 300 expertos en seguridad.
La carta de la industria dice: “[We] Creemos que los artículos 45 y 45a de eIDAS representan una intervención peligrosa en un sistema que es esencial para proteger Internet. “Solicitamos que el Parlamento y los miembros de la UE reconsideren esta acción”.
El artículo 45a, que se destacó en ambas cartas, establece que “los certificados calificados para la autenticación de sitios web no estarán sujetos a ningún requisito obligatorio distinto de los requisitos establecidos en el párrafo 1”, según un borrador casi final visto por Recorded Future News.
Según ambas cartas conjuntas, con ello se establece involuntariamente un nivel máximo de seguridad que el sistema de certificación puede ofrecer al prohibir legalmente nuevos desarrollos. El profesor Murdoch explicó: “Entonces, si a alguien se le ocurriera una gran idea sobre cómo mejorar la seguridad web, ¿se le permitiría incluirla en el navegador o esta cláusula sería un obstáculo para incluir la mejora?
“Si ese obstáculo era insuperable, entonces tenemos algo que va a perjudicar a todos los que usan un navegador web, porque los desarrolladores probablemente no van a desarrollar un navegador web específico de la UE, será el mismo en todas partes, por lo que El impacto no se limitará sólo a la UE”.
Como dice la carta: “Esto va en contra de normas globales bien establecidas en las que se desarrollan e implementan nuevas tecnologías de ciberseguridad en respuesta a los rápidos avances tecnológicos. Esto limita efectivamente las medidas de seguridad que se pueden tomar para proteger la web europea. “Le pedimos que revierta esta cláusula, no limitando sino fomentando el desarrollo de nuevas medidas de seguridad en respuesta a amenazas en rápida evolución”.
Las cartas pretenden convencer a los legisladores europeos de que modifiquen el texto final del documento, que aún se está negociando y se espera que sea confirmado a principios del próximo año.
Futuro grabado
Nube de inteligencia.
Aprende más.
Ningún artículo anterior
No hay artículos nuevos
Alejandro Martín
Alexander Martin es el editor británico de Recorded Future News. Anteriormente fue reportero de tecnología para Sky News y también es miembro de la Iniciativa Europea de Investigación de Conflictos Cibernéticos.
