Google deja de confiar en los certificados digitales de Chunghwa Telecom y Netlock por malas prácticas

Introducción

En un movimiento significativo para la seguridad en la web, Google ha anunciado que dejará de confiar en los certificados digitales emitidos por las entidades certificadoras Chunghwa Telecom y Netlock. Esta decisión, motivada por patrones de comportamiento preocupantes detectados en el último año, tendrá un profundo impacto en el ecosistema de certificación digital y la confianza en el comercio electrónico y las comunicaciones seguras. El cambio entrará en vigor con el lanzamiento de Chrome 139, previsto para principios de agosto de 2025. Actualmente, Chrome se encuentra en la versión 137.

Contexto del Incidente o Vulnerabilidad

Las autoridades de certificación (CA) desempeñan un papel crítico en la infraestructura de clave pública (PKI), garantizando la autenticidad de los sitios web y la seguridad de las conexiones TLS. Sin embargo, su reputación depende de la adhesión estricta a las políticas de emisión y gestión de certificados establecidas por los principales navegadores y organizaciones de estándares.

Durante el último año, Google ha documentado varias desviaciones en las prácticas de Chunghwa Telecom y Netlock, incluyendo la emisión de certificados fuera de las normas del Baseline Requirements del CA/Browser Forum y la falta de transparencia en la gestión de incidentes. Estas conductas han erosionado la confianza del ecosistema, llevando a la decisión de retirada.

Detalles Técnicos

La retirada de confianza afectará a todos los certificados TLS públicos emitidos por Chunghwa Telecom y Netlock, independientemente de su periodo de validez. Técnicamente, esto significa que Chrome marcará como inseguros los sitios y servicios que presenten certificados de estas CAs en la cadena de confianza.

– Versiones afectadas: Todos los certificados activos de Chunghwa Telecom y Netlock en el momento de la entrada en vigor de Chrome 139.
– Vectores de ataque: La desconfianza surge, en parte, por la posibilidad de emisión indebida de certificados, que podría facilitar ataques como man-in-the-middle (MITM), phishing avanzado o suplantación de identidad.
– TTPs MITRE ATT&CK: T1557 (Man-in-the-Middle), T1584.006 (Compromise Infrastructure: SSL/TLS Certificates).
– IoCs relevantes: No se han publicado hashes o fingerprints específicos, pero cualquier certificado en la cadena de confianza que incluya Chunghwa Telecom Root Certification Authority o Netlock Arany (Class Gold) Root será rechazado.
– Herramientas de explotación: Frameworks como mitmproxy, Burp Suite o Cobalt Strike pueden aprovechar certificados mal gestionados para interceptar tráfico.

Impacto y Riesgos

La decisión de Google afecta al 0,5% de los sitios web globales que, según escaneos recientes de Censys, utilizan certificados emitidos por estas CAs. En términos económicos, la migración forzosa puede representar un coste significativo para organizaciones, especialmente en sectores financiero, gubernamental y de infraestructura crítica con alta dependencia de estos proveedores.

Los riesgos incluyen:

– Pérdida de acceso para usuarios de Chrome a servicios con certificados afectados.
– Aumento de la superficie de ataque durante la transición, si las entidades no actualizan a tiempo sus certificados.
– Potenciales incumplimientos de normativas como GDPR o NIS2 si el fallo de validación conlleva exposición de datos o interrupción de servicios esenciales.

Medidas de Mitigación y Recomendaciones

Para mitigar el impacto, Google recomienda a todas las entidades que utilicen certificados de Chunghwa Telecom o Netlock que inicien la transición inmediata hacia CAs alternativas de confianza reconocida, como DigiCert, Sectigo o Let’s Encrypt.

Recomendaciones técnicas:

– Inventariar todos los servicios y endpoints que utilicen certificados de las CAs afectadas.
– Planificar y ejecutar la sustitución de certificados antes de agosto de 2025.
– Actualizar políticas internas de gestión de certificados, estableciendo controles automáticos para evitar la caducidad y la dependencia de CAs cuestionadas.
– Monitorizar logs y alertas de seguridad para detectar intentos de explotación relacionados con la transición.

Opinión de Expertos

Varios expertos del sector, como Scott Helme y miembros del CA/Browser Forum, han respaldado la decisión de Google, subrayando la importancia de la transparencia y el cumplimiento estricto de las políticas de certificación. Según Helme, “la confianza en la PKI depende de la conducta ejemplar de las CAs; cualquier desviación pone en riesgo la seguridad global de Internet”.

Implicaciones para Empresas y Usuarios

Para las empresas, la principal consecuencia es la necesidad urgente de revisar y actualizar su inventario de certificados. Un fallo en este proceso puede traducirse en la pérdida de confianza de clientes, sanciones regulatorias y exposición a ciberataques. Los usuarios, por su parte, pueden encontrar advertencias de seguridad en Chrome y, potencialmente, en otros navegadores que adopten decisiones similares.

Conclusiones

La retirada de confianza de Google hacia Chunghwa Telecom y Netlock marca un nuevo hito en la gobernanza de la seguridad web. Este movimiento enfatiza la necesidad de vigilancia continua y buenas prácticas en la gestión de la PKI. Las organizaciones deben actuar con celeridad para adaptarse a este cambio y garantizar la continuidad y seguridad de sus servicios digitales.

(Fuente: feeds.feedburner.com)