VeriSign es una de los operadores de internet más grandes del mundo, encargado de que llegues al sitio web al que quieres ir de forma segura, sin que nadie intercepte tus comunicaciones. Ahora resulta que fue hackeado en múltiples ocasiones por atacantes que robaron una cantidad desconocida de información.
VeriSign está encargada de emitir certificados SSL, o Secure Sockets Layer para los sitios terminados en .com, .net y .gov, por lo que el asunto es especialmente grave. Con la información robada, los atacantes podrían hacerse pasar por casi cualquier empresa en la web. SSL es una garantía de identidad de un sitio web, que permite asegurar que el sitio en el que estás es realmente el sitio al que quisiste acceder y no están tratando de engañarte con una estafa.
Los ejecutivos de la empresa afirmaron que “no creemos que estos ataques vulneraran los servidores que soportan nuestra red DNS”, que se asegura de que las personas aterricen en la dirección numérica IP correcta cuando uno escribe una dirección, pero no se descartó nada. Si la red DNS fue contaminada, los atacantes podrían redirigir a usuarios a otros sitios, aun si escribieron la dirección correctamente en la barra de direcciones. Podrías escribir Gmail.com y llegar a un clon que roba tus datos, sin darte cuenta.
VeriSign procesa unas 50.000 millones de consultas diarias, operaciones que los atacantes pueden haber usado para dirigir a víctimas a sitios falsos o interceptar correos de personajes importantes, como miembros de gobierno o de grandes compañías.
Los ataques fueron dados a conocer en un reporte entregado en octubre a la Securities and Exchange Commission (SEC), después de que se dictaran nuevas normas sobre cómo hacer los reportes. Sin embargo, en el informe no se detalla cuántas veces ocurrieron los ataques, ni cuánta información está en riesgo.
La vulneración fue descubierta por la agencia Reuters, y quizás lo más grave es que muchos de los jefes en VeriSign no se habían enterado de los ataques hasta ahora que fueron consultados por la agencia, lo que por cierto habla muy mal de los sistemas de control. Según Reuters, muchos no sabían nada más que lo que dice en el informe de la SEC.
El año pasado vimos otros ataques a empresas emisoras de certificados SSL, un asunto que ha puesto en duda la efectividad y confiabilidad de este sistema, y la necesidad de idear uno nuevo.
Link: Key internet operator VeriSign hit by hackers (Reuters)
