AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Google dejará de confiar en certificados TLS de Chunghwa Telecom y Netlock por malas prácticas

admin

## Introducción

Google ha anunciado una decisión crucial para la seguridad del ecosistema web: los certificados digitales emitidos por Chunghwa Telecom y Netlock dejarán de ser confiables en el navegador Chrome a partir de la versión 139, prevista para agosto de 2025. Esta medida responde a un patrón de comportamientos preocupantes y reiteradas deficiencias en el cumplimiento de los estándares de la industria por parte de ambas Autoridades de Certificación (CA). El cambio tendrá un impacto significativo en la integridad de las conexiones TLS y en la confianza digital de numerosos servicios online.

## Contexto del Incidente

Las Autoridades de Certificación (CA) son entidades fundamentales dentro de la infraestructura de clave pública (PKI), ya que validan la identidad de las entidades y emiten certificados digitales necesarios para establecer conexiones TLS/SSL seguras. Sin embargo, la confianza en estos certificados está supeditada a la estricta adhesión a las políticas y buenas prácticas descritas en los Baseline Requirements del CA/Browser Forum y en estándares internacionales como RFC 5280.

Durante el último año, Google ha documentado «patrones de comportamiento preocupantes» en Chunghwa Telecom y Netlock, incluyendo la emisión de certificados sin la debida verificación y la presencia de procesos internos insuficientemente auditados. Estas deficiencias han sido consideradas incompatibles con el mantenimiento de la confianza en el ecosistema de Chrome, que actualmente es el navegador con mayor cuota de mercado mundial.

## Detalles Técnicos

El cambio será efectivo a partir de Chrome 139 (actualmente la versión estable es la 137), por lo que se estima que las organizaciones y los administradores disponen de aproximadamente un año para adaptar sus infraestructuras. El impacto se centra en todos los certificados TLS emitidos por dichas CAs, lo que incluye tanto la autenticación de servidores como la protección de la transmisión de datos.

Entre los compromisos técnicos que se han detectado, se cuentan:

– **Falta de validación rigurosa**: Se han identificado certificados emitidos con información incompleta o no verificada, violando los requisitos mínimos del CA/Browser Forum.
– **Ausencia de transparencia en logs CT (Certificate Transparency)**: Incumplimiento en la publicación oportuna y correcta de certificados en logs CT públicos, dificultando la supervisión por parte de la comunidad.
– **Errores en revocación y gestión de incidentes**: Retrasos en la revocación de certificados comprometidos y mala gestión de incidentes de seguridad.
– **Vectores de ataque**: Estas debilidades abren la puerta a técnicas del marco MITRE ATT&CK como T1557 (Man-in-the-Middle), T1589 (Robo de credenciales) y T1071 (Canal de comando y control cifrado).

Los Indicadores de Compromiso (IoC) observados incluyen la presencia de certificados emitidos por estos proveedores en logs de incidentes, así como en ataques recientes de phishing y suplantación de identidad.

## Impacto y Riesgos

La retirada de confianza afecta de forma directa a cualquier sitio web, aplicación o servicio que utilice certificados de Chunghwa Telecom o Netlock. Los usuarios de Chrome verán alertas de seguridad advirtiendo sobre la falta de confianza en los certificados, lo que puede provocar la pérdida de tráfico, daños reputacionales y riesgos de cumplimiento normativo.

En términos económicos, la migración forzada podría suponer costes notables en grandes organizaciones, especialmente en sectores regulados. Además, en el contexto de la legislación europea (GDPR, NIS2), la utilización de certificados no confiables puede derivar en sanciones significativas por comprometer la protección de datos y la continuidad del negocio.

## Medidas de Mitigación y Recomendaciones

Se recomienda a CISOs, equipos SOC y responsables de infraestructura que:

– **Auditen sus inventarios de certificados** para identificar cualquier dependencia de Chunghwa Telecom o Netlock.
– **Procedan con la revocación y sustitución** de estos certificados por otros emitidos por CAs reconocidas y en cumplimiento con los Baseline Requirements.
– **Automatización de la gestión de certificados** mediante soluciones que detecten certificados vulnerables o en desuso.
– **Monitorización continua** de logs CT y herramientas de threat intelligence para anticipar posibles ataques asociados a certificados no confiables.

## Opinión de Expertos

Expertos en ciberseguridad, como miembros del CA/Browser Forum y auditores externos, subrayan que las CA deben estar sometidas a controles rigurosos y auditorías periódicas. “La confianza en la PKI es un elemento frágil: basta un solo incidente para comprometer la seguridad global”, señala un analista de ENISA.

## Implicaciones para Empresas y Usuarios

Las empresas deben considerar que, a partir de agosto de 2025, cualquier dependencia de estos certificados puede resultar en interrupciones del servicio y exposición a ataques MITM. Para los usuarios, los navegadores mostrarán advertencias explícitas, reduciendo la confianza en servicios afectados y desincentivando su uso.

## Conclusiones

La decisión de Google refuerza la necesidad de mantener altos estándares en la gestión de certificados digitales y evidencia la importancia de la transparencia y la auditoría continua en el ecosistema PKI. Las organizaciones deben actuar con rapidez para evitar interrupciones críticas y sanciones regulatorias, priorizando la migración a CAs confiables y alineadas con las mejores prácticas del sector.

(Fuente: feeds.feedburner.com)