Hackers iraníes han sido acusados de tratar de conseguir información de usuarios haciéndose pasar por gigantes como Microsoft y Google. Los hackers adquirieron certificados SSL fraudulentos, que potencialmente les habrían permitido infiltrar servicios como Hotmail y Gmail, con el objetivo de engañar a los usuarios para conseguir información valiosa.

El SSL, o Secure Sockets Layer, es un sistema ampliamente usado en internet para garantizar la identidad de un servicio, de modo que el usuario pueda confiar en que están visitando un sitio que pertenece a quien dice que pertenece. La garantía de identidad se realiza usando una clave digital conocida como certificado.

Análisis de los ataques revelan que alguien obtuvo acceso a los sistemas de una de las compañías que crean y distribuyen estos certificados, llamada Comodo, lo que les permitió crear certificados falsos. Si hubiesen sido usados, los atacantes podrían haberse hecho pasar por grandes compañías de internet. Entre los certificados fraudulentos, de hecho, se encontraron sitios populares como login.live.com, mail.google.com, www.google.com, login.skype.com y login.yahoo.com.

La empresa Comodo publicó luego un informe que indica que los atacantes fueron muy específicos en sus ataques, lo que les llevó a concluir que se trataba de un esfuerzo “impulsado por un gobierno”. Se cree que fue llevado a cabo por autoridades iraníes, con el objetivo de revisar a grupos de oposición del país que usan internet para coordinar sus actividades.

Los certificados fraudulentos fueron anulados, y la empresa Comodo afirmó estar buscando formas de mejorar su seguridad. Los navegadores también recibieron una actualización para garantizar que los certificados maliciosos serán advertidos.

El ataque ha despertado un gran nivel de preocupación respecto de la seguridad del sistema SSL, que de ser vulnerado, podría afectar a toda la internet. Asociaciones ya han llamado a buscar una forma de reforzar la seguridad del sistema.

Link: Iran accused in ‘dire’ net security attack (BBC News)