Nuestros lectores recordarán que hace poco más de 3 meses se detectó HeartBleed, el fallo de seguridad informática mas grande que se había detectado jamás en el campo de la informática porque afectaba a los certificados de seguridad, que son los sistemas de encriptación utilizados para las comunicaciones seguras a través de internet.

Estos certificados son emitidos normalmente por empresas dedicadas a ello y llamadas de confianza por estar reconocidas por los diferentes entidades y organismos más importantes del sector. Cuando nosotros accedemos a una página protegida por éstos sistemas, los navegadores leen qué empresa a emitido el certificado y lo instala directamente sin consultar si está incluida en la lista de emisores permitidos.

Ejemplo de página web con un certificado de confianza
En caso de que no esté incluida, se nos mostrará un aviso y nos advertirá del problema, pero hoy en día ni un certificado de confianza puede serlo así como uno que no lo sea tiene que ser a la fuerza peligroso o albergar algún tipo de malware, dado que la generación de éstos es relativamente fácil y muchos administradores optan por generar sus propios certificados y evitar el costo de éstos.

Aviso de certificado emitido por empresa excluida de la lista de entidades de confianza
Para estar seguros de éstos casos, en los que un certificado de confianza puede no serlo como sucedió con la última variante del virus Zeus que hacía uso de un certificado robado a la corporación Microsoft, la plataforma de seguridad abuse.ch ha creado SSL BlackList (SSLBL), un proyecto que lista los certificados falsos detectados y utilizados por cyberdelincuentes y piratas informáticos para engañar a los usuarios haciéndoles creer que estaban protegidos.

Estos certificados eran usados por sistemas malware como el conocido virus Zeus, un virus bancario cuya finalidad era hacerse pasar por entidades bancarias y poder robar así nuestros datos y poder acceder a nuestras cuentas financieras.

Hasta ahora han recopilado 136 certificados falsos, algunos generados por los propios piratas lo que los hace detectables con mayor facilidad pero algunos otros han sido emitidos por las nombradas como entidades de confianza lo que los hace más peligrosos y más dificilmente detectables. Sólo en los últimos 7 dias se han agregado 17 nuevas entradas, y esperan que la lista pueda ir creciendo ayudando así a preservar la seguridad de los internautas.

Pueden consultar la lista completa desde la página del proyecto, además se puede descargar en diferentes formatos para que pueda ser importada en los navegadores y bloquear así de forma automática el acceso a cualquier página que pudiera estar haciendo uso de alguno de ellos y ser potencialmente peligrosa para nuestra seguridad y la de nuestros datos personales.

Para todos los que quieran ayudar a proteger y fomentar la navegación segura desde Técnicos Web les instamos a apoyar al proyecto enviando todos aquellos certificados que encontremos y creamos sospechosos así como hacer correr entre nuestros contactos la existencia de éste y ayudar a otras personas a poder navegar de forma segura.