Como todo un nerd de la seguridad informática estaba escuchando un podcast en spotify llamado Darknet Diaries, en el episodio número 3 me quedé ◑.◑ (seco).
Me voy a tomar el tiempo de resumir lo ocurrido.
En 2011, un iraní estaba intentando entrar a gmail. Pone gmail.com en su navegador y le da a enter. Un advertencia rara aparece 🤨 que dice, “Certificación de Servidor Inválida”.
Con el conocimiento de informática se conecta a una VPN y logra conectarse bien. Se cuestiona que estará sucediendo 🤔. Entra a los foros online de google preguntando si hay un ataque de hombre en el medio. También dice que está pasando cosas raras con su proveedor de internet o el gobierno Iraní.
Google responde no solo al foro, sino que también hace una publicación a nivel mundial y ponen en circulación un parche de seguridad en su navegador Google Chrome.
Mozilla, Microsoft y Apple no tardaron mucho en serguirle los pasos.
Para entender qué está sucediendo hay que tener los conceptos de HTTPS, SSL y TLS claros.
Lo pondré de una manera digerible y simple. Cuando usted se conecta a www.xyz.com, está actuando como un cliente, lo más seguro usa Firefox, Chrome, Opera, Safari o lo que use como navegador.
Estos navegadores contienen una lista interna de CAs (Certificadoras) de confianza y mantienen una lista de certificados raíz para usar en la verificación.
Cuando usted navega en esta página xyz.com, su navegador tiene un candadito al lado izquierdo del nombre de dominio, dígase, tiene una entidad certificadora que aprueba el uso seguro del sitio mediante los protocolos seguros que puse más arriba (https, etc.).
Más llano aún, el certificado es como un Id o una cédula, le dice al navegador que en caso de que esté en su lista raíz, que el sitio está chévere y no se alarme.
Por ejemplo, Mozilla Firefox tiene 64 organizaciones y 159 certificados. Si uno de estos certificados no está en la raíz, el navegador le va a decir que no es confiable.
Hay 4 grandes raíces. Mozilla, Microsoft, Apple y Google (Los que dominan el mundo y ustedes no lo saben…)
Pero… ok, vamos un chin a pensar, pensemos en el enlace más débil. Podemos tener 64 candados fuertes en nuestra casa, pero uno de ellos está dañado o ya no sirve mucho
¿Qué puede pasar? ⊙﹏⊙