Si se encuentra en Kazajstán y no puede acceder al servicio de Internet sin instalar un certificado, no está solo.
El gobierno de Kazajstán ha emitido una vez más un aviso a todos los principales proveedores de servicios de Internet (ISP) locales pidiéndoles que hagan obligatorio que todos sus clientes instalen certificados raíz emitidos por el gobierno en sus dispositivos para recuperar el acceso a los servicios de Internet.
El certificado raíz en cuestión, etiquetado como «certificado de confianza«o»certificado de seguridad nacional«si está instalado, permite a los ISP interceptar y monitorear las conexiones HTTPS y TLS cifradas de los usuarios, lo que ayuda al gobierno a espiar a sus ciudadanos y censurar el contenido.
En otras palabras, el gobierno esencialmente está lanzando un ataque de «hombre en el medio» contra todos los residentes del país.
Pero, ¿cómo la instalación de un «certificado raíz» permite a los ISP descifrar la conexión HTTPS? Para aquellos que no lo saben, su dispositivo y los navegadores web confían automáticamente en los certificados digitales emitidos solo por una lista específica de Autoridades de certificación (CA) que tienen sus certificados raíz instalados en su sistema.
Por lo tanto, obligar a los usuarios de Internet a instalar un certificado raíz que pertenezca a una organización gubernamental les otorga la autoridad para generar certificados digitales válidos para cualquier dominio que deseen interceptar a través de su tráfico HTTPS.
A partir de abril de este año, los ISP kazajos comenzaron a informar a sus usuarios sobre el «certificado de seguridad nacional» que sería obligatorio instalar para continuar con el acceso ininterrumpido a una lista de sitios web HTTPS «permitidos».
Ahora, Tele2, uno de los principales ISP de Kazajstán, finalmente comenzó a redirigir todas las conexiones HTTPS de sus clientes a una página web que contiene archivos de certificados e instrucciones sobre cómo instalarlo en dispositivos Windows, macOS, Android e iOS.
Uno de los implicaciones de seguridad más serias Lo que podemos detectar fácilmente aquí es que, dado que los usuarios solo pueden navegar por sitios que no sean HTTPS antes de instalar los certificados, los archivos de certificado están disponibles para descargar solo a través de conexiones HTTP inseguras, lo que puede permitir que los piratas informáticos reemplacen fácilmente los archivos de certificado mediante ataques MiTM.
Otros ISP nacionales, que se enumeran a continuación, también tienen planes para comenzar a obligar a sus usuarios de Internet a instalar el certificado raíz en breve para cumplir con la ley.
El controvertido aviso ha sido emitido con respecto a las reformas a la Ley de Comunicaciones de 2004 (la «Ley de Comunicaciones«) que el gobierno de Kazajstán aprobó en noviembre de 2015.
De acuerdo con la Cláusula 11 del Artículo 26, las «Reglas para la Emisión y Aplicación de un Certificado de Seguridad», todos los proveedores de servicios de comunicaciones nacionales están obligados a monitorear el tráfico de Internet encriptado de sus clientes utilizando certificados de seguridad emitidos por el gobierno.
Se pretendía que la ley entrara en vigor a partir del 1 de enero de 2016, pero el gobierno de Kazajstán no logró obligar a los ISP locales tras una serie de demandas.
Parece que ahora el gobierno de Kazajstán está haciendo otro intento de forzar las enmiendas, poniendo en riesgo la privacidad y la seguridad de millones de sus ciudadanos tanto de los piratas informáticos como del propio gobierno al violar los fundamentos del protocolo de seguridad de Internet.
Según la nota mostrada por los proveedores de Internet, las enmiendas han sido forzadas «en relación con los frecuentes casos de robo de datos personales y de credenciales, así como dinero de cuentas bancarias de Kazajistán».
«Se ha introducido un certificado de seguridad que se convertirá en una herramienta eficaz para proteger el espacio de información del país de piratas informáticos, estafadores de Internet y otros tipos de amenazas cibernéticas», se lee en la nota.
«La introducción de un certificado de seguridad también ayudará en la protección de los sistemas de información y los datos, así como en la identificación de piratas informáticos y estafadores de Internet antes de que puedan causar daños».
«También permitirá que los usuarios de Internet de Kazajstán estén protegidos contra los ataques de piratas informáticos y la visualización de contenido ilegal».
A partir de estas declaraciones, es evidente que el gobierno de Kazajstán quiere tomar el control sobre el contenido que sus ciudadanos deben poder ver en Internet y también convertir a Kazajstán en un estado de vigilancia profunda.
Además, dado que la mitad de la educación es más peligrosa que la falta de educación, me parece muy preocupante que los ISP promuevan la «instalación personalizada de certificados raíz de CA» como una mejor solución que aumenta la seguridad en línea.
Las páginas y los comunicados de prensa creados por los ISP con instrucciones sobre «por qué y cómo instalar el certificado emitido por el gobierno» no explican correctamente la amenaza de instalar un certificado raíz incorrecto.
Literalmente, deja a la mayoría de los ciudadanos en riesgo de ataques de ingeniería social y una oportunidad para que los piratas informáticos engañen a los usuarios para que instalen un certificado raíz malicioso de sitios web y fuentes no oficiales.
Además de esto, interceptar las comunicaciones HTTPS también permitirá a los ISP inyectar anuncios o secuencias de comandos de seguimiento en todas las páginas web que visitan los usuarios.
En este momento, no está claro cómo responderán las principales empresas tecnológicas y los navegadores web a esta nueva infracción de la privacidad de los ciudadanos kazajos. Actualizaremos la historia con más información tan pronto como estén disponibles.