Imágenes Getty | tomas jackson
Los principales fabricantes de navegadores están bloqueando el uso de un certificado raíz que el gobierno de Kazajstán ha utilizado para interceptar el tráfico de Internet.
Mozilla y Google emitieron un anuncio conjunto hoy diciendo que «las empresas implementaron soluciones técnicas dentro de Firefox y Chrome para bloquear la capacidad del gobierno de Kazajstán para interceptar el tráfico de Internet dentro Marketingdecontenido». Cada empresa está implementando «una solución técnica única para su navegador», dijeron.
Apple le dijo a Ars que también está bloqueando la capacidad de usar el certificado para interceptar el tráfico de Internet.
Según los informes, Kazajstán dijo que detuvo el uso del certificado. Pero las acciones de los fabricantes del navegador podrían proteger a los usuarios que ya lo instalaron o evitar el uso futuro del certificado por parte del gobierno de Kazajstán.
Mozilla y Google dijeron que tomaron la medida en respuesta a «informes creíbles de que los proveedores de servicios de Internet en Kazajstán han requerido a las personas en el país que descarguen e instalen un certificado emitido por el gobierno en todos los dispositivos y en todos los navegadores para poder acceder a Internet». El certificado «permitía al [Kazakhstan] gobierno para descifrar y leer cualquier cosa que un usuario escriba o publique, incluida la interceptación de la información de su cuenta y las contraseñas”, escribieron las compañías. “Esto estaba dirigido a personas que visitaban sitios populares como Facebook, Twitter y Google, entre otros”.
Certificado bloqueado después de la instalación
Mozilla explicó en otra publicación que Firefox no confiará en el certificado raíz de Kazajstán, incluso si el usuario lo ha instalado.
«Creemos que esta es la respuesta adecuada porque a los usuarios de Kazajstán no se les da una opción significativa sobre si instalar el certificado y porque este ataque socava la integridad de un mecanismo de seguridad de red crítico», dijo Mozilla. La compañía también alentó a los usuarios de Internet en Kazajstán a «investigar el uso del software de red privada virtual (VPN), o el Navegador Tor, para acceder a la Web».
De manera similar, Google dijo que «Chrome bloqueará el certificado que el gobierno de Kazajstán requirió que los usuarios instalaran» y que «los usuarios no necesitan ninguna acción para estar protegidos».
Google agregó el certificado a CRLSets, que Chrome usa para «bloquear rápidamente certificados en situaciones de emergencia».
Además, Google dijo que «el certificado se agregará a una lista de bloqueo en el código fuente de Chromium y, por lo tanto, debería incluirse en otros navegadores basados en Chromium a su debido tiempo».
Mozilla no «toma acciones como esta a la ligera, pero proteger a nuestros usuarios y la integridad de la Web es la razón por la que existe Firefox», dijo Marshall Erwin, Director Senior de Confianza y Seguridad de Mozilla.
La directora senior de ingeniería de Chrome, Parisa Tabriz, dijo que Google «nunca tolerará ningún intento, por parte de ninguna organización, gubernamental o de otro tipo, de comprometer los datos de los usuarios de Chrome».
Cuando se puso en contacto con Ars, Apple dijo que está bloqueando el certificado para que no pueda usarse para interceptar el tráfico de Internet incluso después de que un usuario lo haya instalado.
«Apple cree que la privacidad es un derecho humano fundamental, y diseñamos cada producto de Apple desde cero para proteger la información personal», dijo Apple también en un comunicado a Ars y otros medios de comunicación. «Hemos tomado medidas para garantizar que Safari no confíe en el certificado y que nuestros usuarios estén protegidos contra este problema». Esto cubre Safari tanto para iOS como para MacOS, dijo Apple a Ars.
Borde e Internet Explorer
La situación con Microsoft es un poco más turbia.
Microsoft, el fabricante de Edge e Internet Explorer, le dijo a Motherboard que «la autoridad de certificación (CA) en cuestión no es una CA de confianza en nuestro programa raíz de confianza». Eso significa que el certificado no se instalará de forma predeterminada, pero un usuario del navegador podría optar por instalarlo.
Sin embargo, no confiar en el certificado no es necesariamente suficiente para evitar que los usuarios sean espiados. Un informe de Censored Planet del 23 de julio al que se refirieron Mozilla y Google decía: «Los navegadores no confían en la CA de forma predeterminada y el usuario debe instalarla manualmente».
Pero los usuarios de Internet en Kazajstán «no pueden acceder a los sitios afectados en absoluto si no instalan el certificado raíz para la CA falsa y permiten la intercepción», dice el informe.
Si Microsoft no confía en el certificado, puede que sea un poco más difícil para los usuarios instalarlo. Pero si Microsoft no bloquea la capacidad de espiar a los usuarios después de que se haya instalado el certificado, no estarían protegidos como los usuarios de otros navegadores.
En el lado positivo, Microsoft está en el proceso de cambiar Edge a un back-end de Chromium, por lo que Edge eventualmente obtendrá la protección integrada en Chromium. Pero el Edge basado en Chromium todavía está en versión beta.
Le preguntamos a Microsoft cómo está manejando el certificado de Kazajstán y actualizaremos este artículo si recibimos una respuesta.
Actualizar: Microsoft nos dio la misma declaración que le dio anteriormente a Motherboard, pero no respondió a nuestra pregunta sobre si está haciendo algo para bloquear la capacidad de espiar a los usuarios después de que se haya instalado el certificado.
Prez de Kazajstán: “No hay motivos para preocuparse”
Una historia de Reuters del 7 de agosto decía que «Kazajstán ha detenido la implementación de un sistema de vigilancia en Internet criticado por abogados como ilegal, y el gobierno describe su implementación inicial como una prueba».
Los funcionarios de seguridad del Estado afirmaron que estaban tratando de proteger a las personas en Kazajstán de «ataques de piratas informáticos, fraude en línea y otros tipos de amenazas cibernéticas», escribió Reuters.
El presidente de Kazajstán, Kassym-Jomart Tokayev, «dijo en un tuit que había ordenado personalmente la prueba que mostraba que las medidas de protección ‘no molestarían a los usuarios de Internet kazajos'», escribió Reuters. «No hay motivos para preocuparse», dijo también Tokayev.
La publicación de Mozilla/Google señaló que este «no era el primer intento del gobierno de Kazajstán de interceptar el tráfico de Internet de todos en el país».
Las empresas escribieron:
En 2023, el gobierno de Kazajstán intentó incluir un certificado raíz en el programa de almacenamiento raíz de confianza de Mozilla. Después de que se descubrió que tenían la intención de usar el certificado para interceptar los datos de los usuarios, Mozilla rechazó la solicitud. Poco después, el gobierno obligó a los ciudadanos a instalar manualmente su certificado, pero ese intento fracasó después de que las organizaciones iniciaran acciones legales.
