- Global Voices en Español - https://es.globalvoices.org -

En el conflicto con el regulador de seguridad digital en China, los expertos locales se alinean con Google y Mozilla

Categorías: Asia Oriental, China, Estados Unidos, Derecho, Medios ciudadanos, Tecnología, Últimas noticias, GV Advox
Muro de llaves. Foto de Robert en Flickr (CC BY 2.0) [1]

Muro de llaves. Foto de Robert en Flickr (CC BY 2.0)

Los expertos técnicos chinos están apoyando abiertamente la decisión de Google y Mozilla de revocar los certificados de seguridad emitidos por el Internet Network Information Center [2] (Centro de Información sobre Redes de Internet) de China.

Un certificado de seguridad [3] es una herramienta técnica que usan varios sitios web para darse a sí mismos y sus usuarios más seguridad de que el tráfico de sus datos corresponde verdaderamente al sitio con el que están interactuando. Por ejemplo, imagina que acudes a la web de tu banco para transferir algunos fondos. Te registras, ingresas información personal y luego verificas cuánto dinero hay en tu cuenta.  Los bancos trabajan para asegurar que solo sus trabajadores y sus clientes puedan ver estos datos – pero atacantes con la suficiente astucia pueden interferir con la conexión segura entre tú y la web de tu banco y capturar información que viaja entre tu computadora y dicho sitio web.

Los certificados de seguridad son una forma de resguardarnos contra dichos ataques. Ellos tienen una presencia digital calmada, pero poderosa, especialmente con la banca en línea y comercio electrónico — un sitio web sin un certificado puede ser percibido como ilegítimo y no confiable. Un usuario se encuentra frecuentemente con una advertencia (como la vista más abajo) cuando tratan de ingresar a una web con un certificado de seguridad inválido. Aunque los usuarios deberían obedecer estas precauciones, frecuentemente las ignoran [4].

connectionisnotprivate

Google y Mozilla [5] decidieron que no utilizarán más los certificados producidos por el CNNIC, tras una investigación conjunta por Google y CCNIC sobre el hackeo de diferentes dominios de Google, incluyendo uno correspondiente a una compañía egipcia llamada MCS [6] Holdings, que sirvió como una suerte de autoridad de certificación para el CNNIC. En este incidente, un ataque intermediario (man-in-the-middle) [7] interceptó conexiones seguras entre los usuarios y su destino y dirigió a los usuarios a un sitio web separado y disfrazado. Este tipo de ataques sólo son posibles si el sitio disfrazado posee un certificado digital de una entidad de confianza.

CNNIC, la autoridad principal de China, calificó la decisión de Google como «inaceptable e incomprensible» [8] y urgió a la compañía a «considerar los derechos e intereses de los usuarios». A pesar de la promesa del CNNIC para prevenir incidentes futuros, Google decidió revocar el certificado digital del ente chino en sus productos.

Mozilla reveló [9] en su blog oficial que desde 2012, la compañía se ha estado comunicando con CNNIC acerca del problema de asignar certificados intermedios a terceros. Ha recordado al CNNIC que «el envío intencional de certificados […] es erróneo y pudiera resultar en la remoción de todos los certificados de los productos de Mozilla».

En el incidente más reciente, el CNNIC argumentó que la emisión del certificado obedeció a «propósitos de prueba», que significa que conscientemente emitió «un certificado intermedio, sin restricciones» a la empresa HCS, una práctica que aparentemente violó los propios códigos [10] establecidos por el CNNIC para sus certificados.

Esta clase de ataques se han hecho comunes en China. Entre los comentarios del reporte en Weibo [11] de William Long, bloguero chino de tecnología, sobre la decisión de Mozilla y Google, un usuario de Weibo mencionó otro ataque intermediario que tuvo como objetivo al servicio Hotmail de Microsoft:

本无鬼见愁:前段时间工作用的 Hotmail 邮箱受到一次中间人攻击,然后马上把所有电脑上的 CNNIC 证书设置为永不信任,就算 CNNIC 以后不干这么龌龊的事,能达到国际公认的安全要求,我也再不会信任他家的证书了。

«El fantasma inexistente parece triste»: Experimenté un ataque intermediario cuando estaba usando mi Hotmail para mi trabajo hace algún tiempo. Desde entonces, cambié las configuraciones de mi computadora para rechazar todos los certificados emitidos por CNNIC. Aunque el ente prometió no cometer un hecho tan sucio nuevamente y emplear el estándar internacional de seguridad, no confiaré nuevamente en su certificado.

El ataque antes mencionado ocurrió [12] a inicios de octubre de 2014, dejando a la página de ingreso al correo electrónico Microsoft (login.live.com) bajo ataque en la mayoría de las ciudades principales de China. Ataques similares han ocurrido desde 2011, en Skype (2011), GitHub (enero 2013) y Yahoo (setiembre 2014).

Como la mayoría de los usuarios de internet, varias voces en Weibo estaban confundidas sobre el papel del CNNIC en el ataque. Bfsu99 republicó la explicación de penta5kill en lenguaje no técnico:

bfsu99:[…] @penta5kill:回复@舞法舞天丨:就是CNNIC通过假证书骗取浏览器信任然后监控用户,结果被人发现了。你可以理解成间谍把窃听器伪装成手机零配件出售给手机制造商,然后每台出厂的手机自带窃听功能

bfsu99: […] penta5kill en respuesta a «danza de la ley y el cielo»: CNNIC produjo un certificado falso [para los clientes] para que pudieran engañar a los navegadores para que confiaran en ellos. Ahora sus actos han sido descubiertos. Es como si un espía disfrazara un dispositivo de espionaje como un teléfono móvil y luego lo vendiera al proveedor de celulares. Desde entonces, los teléfonos móviles cumplen con una función de espionaje.

Varios de los comentarios en el espacio de discusión de William Long apoyaron las medidas de Google y Mozilla:

xxxxoxoxoxoxo:Google宣布旗下产品删除CNNIC根证书,给CNNIC闪亮一巴掌,帮助中国人民出了一口气!支持Google,CNNIC这种机构就得扇脸!

xxxxoxoxoxoxo: Google anunció que todos sus proyectos revocarían el certificado de CNNIC y cacheteó a CNNIC en su cara. Ayuda a los chinos a responder. Apoyen a Google. Instituciones como el CNNIC deberían ser cacheteadas.

聿渔:互联网应该团结起老对大陆网路进行封杀,禁止一切大陆网络信息外链和送出,既然要搞局域网何不帮狗共一把

yuyu, toda la Red debería unirse y bloquear la intranet china, impedir que su tráfico entre y salga. Si la CCP quiere construir una intranet, ¡a ayudarle!

____harm:一個騙子問人為什麼不信任他,大家覺得可笑不?

____harm: un mentiroso pregunta a la gente: ¿por qué no confías en mí? Esto es un chiste.

Como es usual, los comentarios críticos sobre CNNIC fueron removidos de la intranet china continental, como reportó el usuario «Haipeng in Shanghai» (@海鹏在shanghai):

网上搜了一下,这几天国内关于CNNIC的负面新闻和评论都被删了,国家级流氓确实牛逼

Busqué en línea. Todas las noticias y comentarios negativos sobre el CNNIC fueron borrados. Los mafiosos del Estado son muy poderosos.