La agencia Reuters informa que Verisign, la empresa emisora de certificados que asegura más de la mitad de las webs del mundo, fue hackeada repetidamente en el año 2.010, precisamente el año en el que Verisign vendió sus servicios SSL y los servicios MPKI a Symantec.
De hecho, los ataques ocurrieron en la sede que la compañía tiene en Reston, Virginia, la cual es ni más ni menos que la última responsable de la integridad de las direcciones web acabadas en .com, .net y .gov. ¡Casi nada!.
Lo peor de todo, no es que fuera atacada, sino que lo fue en más de una ocasión y ni siquiera a estas alturas se conoce hasta donde pudieron llegar los hackers o qué tipo de información o de códigos pudieron ser comprometidos.
Si a eso le añadimos que los responsables de la seguridad IT de VeriSign no informaron de estos ataques hasta Septiembre de 2.011 la cosa es realmente seria, ya que no sabemos si los certificados emitidos por esta empresa durante ese año han podido ser comprometidos.
Poco después de ser informada la dirección de la compañía, esta puso en conocimiento de la Security Exchange Comission (SEC), el organismo norteamericano que está siendo quien dirige la investigación.
Si realmente la gravedad del asunto es la que se presupone, todas aquellas páginas web personales o empresariales (principalmente estas últimas) que emplean sus certificados SSL podrían ver comprometidos sus datos. Empresas como KPN, Diginotar...
Los ejecutivos de Verisign afirman que "no creen que los ataques hayan afectado a los servidores que soportan su red DNS", quienes procesan alrededor de unos 50.000 millones de consultas diarias.
También han afirmado que "no hay nada que indique que los sistemas afectados en 2.010 esté relacionada con los sistemas de producción SSL".
Sin embargo, ¿qué pasaría si realmente sí se hubiesen visto afectados sus sistemas de producción SSL o estuviera comprometido el sistema de seguridad RSA Escurrid?. Pues, que por ejemplo, se podría emitir un certificado en nombre del Bank of America o de Google válido y que sería aceptado por bueno por cualquier navegador del mundo.
Una muy, pero muy mala noticia para el campo de la seguridad informática.
No hay comentarios:
Publicar un comentario