Alertan que los certificados falsos permiten saltarse la mayoría de los antimalware

Debido a las cada vez mayores protecciones incorporadas en y a los sistemas operativos, los desarrolladores de malware se las tienen que ingeniar para saltárselas, y para alcanzar dicha meta no podían faltar los certificados digitales falsos para hacer pasar el malware por software legítimo, según un informe publicado por Recorded Future.

Los certificados falsos actúan como si fuesen legítimos, haciendo que el malware resulte invisible para una gran cantidad de soluciones antimalware. Desde Recorded Future reconocen que dichos certificados, que se venden en el mercado negro, no resultan baratos, pero su precio se justifica si se tiene en cuenta el aumento en la efectividad que proporcionan. De momento parece que el principal mercado se centra en Europa del Este, con los hackers rusos como principales clientes.

Hay que tener en cuenta que no estamos hablando de certificados robados, sino de otros que son creados por los cibercriminales utilizando información real procedente de las entidades certificadoras. Esto aumenta tanto la posibilidad de que puedan hacerse pasar por auténticos como su atractivo en el mercado negro, con hackers que están dispuestos a pagar con el fin de aumentar la efectividad del malware que desarrolla. Además, este problema llega a afectar a algunas de las principales entidades certificadoras, entre las que se pueden mencionar a Thawte, Comodo y Verisign.

Sobre la capacidad de detectar certificados falsos, sus vendedores reconocen que la seguridad de Google Chrome es de largo más efectiva y poderosa, por lo que los cibercriminales son conscientes de que las posibilidades de éxito se reducen cuando se ataca a alguien que usa ese navegador web. Según parece, esto es debido a que Chrome tiene sus propias metodologías para diferenciar sitios web legítimos de otros que son falsos, permitiéndole bloquear o al menos advertir de un sitio web incluso si su actividad maliciosa está escondida detrás de un certificado.

De hecho, ya hay precedentes sobre malware cuya difusión ha sido un éxito gracias a la utilización de certificados falsos. Uno de estos es Stuxnet, un gusano que en MuySeguridad hemos cubierto en varias ocasiones y que formó parte de los planes de ciberataques de Estados Unidos. Hace años los certificados falsos eran caros y solo los estados podían permitirse su compra, pero en la actualidad son más baratos y pueden ser usados por ciberdelincuentes con menos poder adquisitivo. Aun así su precio sigue siendo relativamente elevado y sin estar al alcance de todos los cibercriminales.

Pese a todo, debido a que van dirigidos a organizaciones con un mayor poder adquisitivo, los certificados digitales no son más que una pequeña inversión que permite aumentar de forma notable las probabilidades de éxito de los ataques lanzados.

Fuente: CyberScoop