Hackers se aprovechan de certificados de seguridad gratuitos para atacar

Let’s Encrypt ofrece certificados HTTPS de forma gratuita que los ciberdelincuentes están usando para esparcir malware en sitios reconocidos.

Ha pasado poco más de un mes desde que la autoridad de certificaciones Let’s Encrypt abrió su programa beta para ofrecer certificados gratuitos HTTPS al público y los hackers ya han empezado a hacer mal uso del servicio encontrando la manera de utilizar la plataforma para esparcir malware a través de dominios que dan la apariencia de ser seguros.

En diciembre la firma de seguridad Trend Micro identificó a usuarios en Japón introduciendo información maligna a los servidores, dicha información transportaba el troyano que afectó a miles de computadoras con sistema operativo Windows para robar información bancaria de los afectados en dicho país.

De acuerdo con la empresa de investigación los ciberdelincuentes utilizaron una técnica llamada doman shadowing en el que los atacantes que han logrado tener acceso a un dominio confiable, en este caso las páginas oficiales de los bancos, pueden redirigir a los visitantes del sitio a un servidor del que los hackers tienen control y hospedan en otro lugar con fines de ataque. En este caso, al parecer el gancho era una supuesta publicidad del banco que aparecía en la página.

Lo grave es que los usuarios nunca se dan cuenta del peligro ya que los hackers pueden disfrazar su actividad usando un subdominio protegido con certificado de seguridad aparentemente validado por Let’s Encrypt.

¿Cómo lograron engañar a la plataforma?

De acuerdo con Trend Micro esto pudo haber sido posible debido a que Let’s Encrypt sólo revisa dominios que estén identificados como sitios que van en contra de los estándares de seguridad de navegación API antes de otorgar un certificado. Dada esta situación no es muy difícil para un hacker obtener una licencia y crear subdominios con malware bajo el respaldo de un sitio legítimo.

Esto ha obligado a Let’s Encrypt a revisar nuevamente varios de sus certificados aunque en realidad lo que urge hacer es mejorar el proceso de certificación con la intención de que ningún hacker pueda valerse de un dominio seguro para engañar a la gente pues los daños potenciales pueden tener un alcance más grande que cualquier amenaza.