Hackeo al portal de soporte de DigiCert: 27 certificados de firma de código robados

Hackeo al portal de soporte de DigiCert: 27 certificados de firma de código robados

Una brecha en una de las autoridades de certificación más confiables de internet ha planteado serias preguntas sobre la seguridad de la cadena de suministro de software. DigiCert, un importante proveedor de certificados digitales utilizados para verificar la autenticidad de software y sitios web, confirmó que los atacantes usaron ingeniería social para comprometer a dos empleados de soporte técnico, obteniendo acceso a sistemas internos y robando 27 certificados de firma de código. Esos certificados fueron posteriormente utilizados para firmar malware antes de que DigiCert los revocara.

El incidente es un recordatorio de que incluso las organizaciones responsables de mantener la confianza digital no son inmunes a los ataques dirigidos a personas.

¿Qué son los certificados de firma de código y por qué son importantes?

Cuando descargas software, tu sistema operativo suele verificar si lleva una firma digital válida. Esta firma, emitida por una autoridad de certificación de confianza como DigiCert, está destinada a confirmar que el software proviene de una fuente legítima y no ha sido manipulado. Es una parte fundamental de cómo los sistemas operativos modernos, desde Windows hasta macOS, ayudan a los usuarios a distinguir el software confiable de los impostores maliciosos.

Cuando los atacantes obtienen certificados de firma de código legítimos, pueden envolver el malware en un manto de legitimidad. Las herramientas de seguridad, las advertencias del sistema operativo e incluso algunos sistemas de protección de endpoints empresariales pueden tratar el software firmado como confiable por defecto. Un usuario que descarga lo que parece ser una aplicación firmada y verificada tiene menos señales visuales que lo adviertan de que algo está mal.

En este caso, 27 certificados robados fueron utilizados activamente para firmar malware antes de que DigiCert identificara la brecha y los revocara. La revocación es la respuesta correcta, pero no es una protección instantánea. Las verificaciones de revocación no siempre se aplican en tiempo real, y algunos sistemas o configuraciones pueden no reconocer de inmediato que un certificado previamente válido ya no es confiable.

Cómo ocurrió el ataque: ingeniería social en el servicio de asistencia técnica

El método utilizado para obtener acceso merece especial atención. Los atacantes no explotaron una vulnerabilidad de software sin parchear ni forzaron su camino a través de un firewall. Apuntaron a personas. Dos empleados de soporte técnico fueron manipulados para proporcionar acceso a sistemas internos, una técnica conocida ampliamente como ingeniería social.

El personal de asistencia técnica y soporte es atacado frecuentemente de esta manera porque su trabajo requiere que sean serviciales y receptivos. Los atacantes suelen hacerse pasar por colegas, proveedores o solicitudes internas urgentes para presionar al personal de soporte a omitir los procedimientos normales de verificación.

Este ataque sigue un patrón bien establecido observado en brechas en grandes organizaciones de distintos sectores. La lección no es que DigiCert haya sido excepcionalmente negligente. Es que la ingeniería social sigue siendo uno de los vectores de ataque más efectivos disponibles, independientemente de cuán sofisticadas sean las defensas técnicas del objetivo.

Qué significa esto para ti

Si descargas software de seguridad, clientes VPN o cualquier aplicación de internet, este incidente tiene relevancia directa para tus prácticas personales de seguridad.

En primer lugar, descargar software únicamente de fuentes oficiales y primarias importa más que nunca. Una firma de certificado es una señal útil, pero no es infalible, como demuestra esta brecha. Evita descargar software de tiendas de aplicaciones de terceros, sitios espejo o enlaces compartidos a través de redes sociales o correo electrónico, a menos que hayas verificado la fuente de forma independiente.

En segundo lugar, mantener actualizado tu sistema operativo y software de seguridad garantiza que los certificados revocados sean reconocidos como inválidos en tu dispositivo. Las listas de revocación de certificados y las actualizaciones de OCSP (Protocolo de Estado de Certificados en Línea) se distribuyen a través de actualizaciones del sistema y del navegador. Un sistema desactualizado puede continuar confiando en un certificado que ya ha sido revocado.

En tercer lugar, para los usuarios de VPN o software de seguridad específicamente, vale la pena revisar periódicamente el origen de tus instalaciones y si el proveedor ha comunicado algún aviso de seguridad. Los proveedores de reputación divulgarán los problemas que afectan a su canal de distribución de software.

Para las organizaciones, este incidente refuerza el argumento a favor de exigir autenticación multifactor para todo el personal de soporte y administrativo, implementar procedimientos estrictos de verificación antes de otorgar cualquier acceso, y auditar qué empleados pueden acceder a los sistemas sensibles de gestión de certificados.

Conclusiones prácticas

• Descarga software únicamente desde los sitios web oficiales del proveedor. Evita los agregadores de descargas de terceros, incluso para aplicaciones conocidas.
• Mantén actualizados tu sistema operativo y navegadores. Los datos de revocación se entregan mediante actualizaciones. Un sistema desactualizado puede no reconocer certificados comprometidos.
• Consulta los avisos de seguridad del proveedor. Si usas software firmado por DigiCert, visita la página de seguridad oficial del proveedor para confirmar si alguno de tus programas instalados se vio afectado.
• Sé escéptico ante actualizaciones de software inesperadas. Si recibes una solicitud no solicitada para actualizar una aplicación, verifícalo a través de la propia aplicación en lugar de hacer clic en un enlace externo.
• Las organizaciones deben auditar los almacenes de confianza de certificados. Los equipos de seguridad deben revisar qué certificados son de confianza en sus entornos y asegurarse de que la verificación de revocación esté aplicada.

La respuesta de DigiCert, que incluye la revocación de los certificados afectados, es adecuada y esperada. Pero la conclusión más amplia es que la infraestructura de confianza que subyace a la distribución de software depende tanto de los procesos humanos como de los técnicos. Comprender de dónde proviene esa confianza, y dónde puede fallar, te coloca en una mejor posición para protegerte.