Un ataque, supuestamente efectuado por autoridades iraníes sobre sus internautas, ha puesto en duda la seguridad del protocolo https, la versión segura del http, que permite el cifrado de los datos que se envían desde el propio ordenador a los servidores en línea, y que utilizan sobre todo bancos y tiendas para proteger los datos de sus clientes.
Ese caso de espionaje se produjo gracias a un engaño a una de las 650 agencias que regularmente emiten unos 1,500 certificados de autenticidad para esas páginas web cifradas, que cientos de miles de internautas usan a diario.
Esa arquitectura utiliza un cifrado, Capas de Conexión Segura (SSL, por sus siglas en inglés) y Seguridad de Capas de Transporte (TLS), dos protocolos que crean un canal de comunicación segura. En las conexiones https, un navegador solo mostrará sin problemas o alarmas la página web si esta incluye un certificado de seguridad firmado por una tercera parte: una agencia independiente que garantiza la autenticidad de la propia página. Esta arquitectura se diseñó en los años noventa.
El problema, según han denunciado varios analistas tras conocer este ataque, es que hay demasiadas agencias que emiten certificados. Fue Comodo, una empresa de software de seguridad que a la vez actúa como agencia de certificación, la que admitió que su sistema había emitido certificados seguros a páginas web de Google, Yahoo!, Microsoft, Mozilla y Skype, todos de forma no adecuada, a direcciones localizadas principalmente en Irán. Con ellos, un pirata podía hacerse pasar por esas compañías, aunque estuviera redirigiendo el tráfico web a páginas de su propia creación. Con los certificados, los atacantes podían crear páginas fraudulentas que por su diseño parecieran verdaderas y desde las que se pudiera espiar las comunicaciones de los internautas. Para eso, se necesita la capacidad de redirigir direcciones IP, algo que solo pueden hacer las compañías telefónicas proveedoras de conexión, que en Irán están en manos del Gobierno. Al averiguar que había sido víctima de un engaño de esas dimensiones, Comodo revocó los certificados, notificó a las páginas web que habían sido suplantadas y presentó un informe ante el Gobierno de EE UU para que tome medidas.