**Navegadores Dejarán de Confiar por Defecto en Certificados Digitales de Autoridades Chinas a partir de Agosto**
—
### 1. Introducción
En una decisión que marca un antes y un después en la gestión de la confianza digital, Google ha anunciado que a partir de agosto de 2024 los certificados emitidos por determinadas autoridades de certificación (CA) chinas dejarán de ser considerados confiables por defecto en su navegador Chrome. Esta medida, motivada por preocupaciones sobre la integridad y el cumplimiento de buenas prácticas por parte de estas entidades, tendrá repercusiones directas en la navegación segura, la operativa de servicios web y la cadena de confianza en Internet a nivel global.
—
### 2. Contexto del Incidente o Vulnerabilidad
La raíz de esta decisión se encuentra en los continuos incidentes y controversias relacionados con la gestión de certificados digitales por parte de varias autoridades certificadoras de origen chino, entre ellas China Internet Network Information Center (CNNIC) y WoSign. Históricamente, estas CA han sido cuestionadas por la emisión inadecuada de certificados, la falta de transparencia en sus procedimientos y la inobservancia de los requisitos del Baseline Requirements del CA/Browser Forum, un estándar esencial para la industria.
Google, en coordinación con otros actores como Mozilla y Apple, ha venido realizando un seguimiento estricto sobre el comportamiento de las CA de confianza raíz incluidas en sus navegadores. Recientemente, y tras detectar acciones reiteradas que comprometen la integridad del ecosistema de certificados, la compañía ha decidido retirar la confianza por defecto a estos emisores a partir de agosto.
—
### 3. Detalles Técnicos
El principal vector de ataque asociado a la mala gestión de certificados digitales es el riesgo de ataques de intermediario (Man-in-the-Middle, MitM) y la suplantación de identidad (phishing avanzado). Las vulnerabilidades detectadas incluyen la emisión de certificados sin la debida validación de identidad y la delegación de autoridad a sub-CAs sin un control adecuado. Estas prácticas violan controles como el ID A2 (Validación de la identidad) y el ID A5 (Gestión de claves) del marco MITRE ATT&CK.
No se ha publicado un CVE específico sobre esta retirada de confianza, pero sí se han reportado incidentes previos de emisión fraudulenta de certificados. Los Indicadores de Compromiso (IoC) incluyen la presencia de certificados raíz y de entidad final emitidos por CNNIC, WoSign y StartCom, que pueden ser identificados en los almacenes de certificados de los sistemas operativos y navegadores.
Herramientas como Metasploit han incorporado módulos capaces de explotar la debilidad en la cadena de confianza, permitiendo la creación de certificados fraudulentos que pasan por válidos si el navegador confía en la CA comprometida. Además, frameworks de red team como Cobalt Strike pueden aprovechar la confianza indebida en certificados para evadir controles de tráfico seguro (SSL/TLS inspection).
—
### 4. Impacto y Riesgos
La pérdida de confianza en estas CA tiene un impacto directo sobre todos los sitios web y servicios que dependan de certificados emitidos por las autoridades afectadas. Se estima que, a nivel global, entre un 3% y un 5% de los certificados activos en sitios web públicos podrían verse comprometidos.
El riesgo principal es la exposición a ataques MitM, suplantación de servicios y la imposibilidad de establecer conexiones seguras, lo que podría derivar en incumplimientos de normativas como el GDPR y la Directiva NIS2, especialmente en sectores críticos y organizaciones sujetas a regulación.
Empresas que no actualicen sus certificados a emisores confiables por los navegadores podrían enfrentar pérdidas económicas por la interrupción de servicios, pérdida de clientes y posibles sanciones regulatorias.
—
### 5. Medidas de Mitigación y Recomendaciones
– **Inventario de Certificados:** Realizar un escaneo exhaustivo de los certificados instalados en servidores y endpoints utilizando herramientas como OpenSSL, Certbot o Qualys SSL Labs.
– **Sustitución Inmediata:** Migrar todos los certificados afectados a emisores reconocidos por el CA/Browser Forum como DigiCert, Sectigo o Let’s Encrypt.
– **Actualización de Políticas:** Revisar y actualizar políticas de gestión de claves y certificados, asegurando la alineación con los requisitos de seguridad actuales.
– **Monitorización Continua:** Implementar sistemas de monitorización de la cadena de certificados (Certificate Transparency) para detectar posibles emisioness indebidas.
– **Formación:** Capacitar a los equipos de TI y seguridad sobre los nuevos requisitos y riesgos asociados a la gestión de certificados digitales.
—
### 6. Opinión de Expertos
Expertos del sector, como los analistas de la Cloud Security Alliance y CISOs de grandes organizaciones, consideran que esta medida es un paso necesario para preservar la integridad de la cadena de confianza en Internet. Señalan que la confianza ciega en autoridades certificadoras sin mecanismos de auditoría robustos supone un vector de riesgo inaceptable en el contexto actual de ciberamenazas avanzadas persistentes (APT).
—
### 7. Implicaciones para Empresas y Usuarios
Las empresas deben anticipar posibles caídas de servicio, alertas SSL/TLS en navegadores y pérdida de confianza por parte de los usuarios si no actúan con rapidez. Los usuarios finales podrían enfrentarse a advertencias de seguridad al acceder a páginas aún certificadas por las CA afectadas, lo que dificulta la continuidad de negocio y la experiencia de usuario.
De cara a auditorías de cumplimiento y revisiones regulatorias, se recomienda documentar todas las acciones de mitigación y mantener un registro actualizado de los certificados utilizados.
—
### 8. Conclusiones
La decisión de Google refuerza la tendencia del sector hacia una gestión más estricta y transparente de la confianza digital. A partir de agosto de 2024, la operativa segura en Internet dependerá aún más de la elección adecuada de autoridades certificadoras y del cumplimiento riguroso de los estándares internacionales de seguridad.
(Fuente: www.darkreading.com)