Ciberdelincuentes utilizan certificados Let’s Encrypt a su conveniencia

Soy Digital

Los Investigadores de Trend Micro han identificado una campaña de publicidad maliciosa focalizada en sitios que utilizan certificados Let’s Encrypt de forma gratuita.

IDG

Los partidarios del proyecto Let’s Encrypt querían, hacer más fácil para los propietarios de sitios web, obtener e implementar certificados para cifrar el tráfico HTTP. El proyecto se inició con la emisión de certificados gratuitos como parte de un programa de beta pública en diciembre. Ni siquiera han pasado dos meses y los ciberdelincuentes ya han tomado ventaja de los certificados gratuitos del proyecto para utilizarlos con fines ilegítimos.

“Cualquier tecnología que se entiende por buena puede ser utilizada por los delincuentes cibernéticos y Let’s Encrypt no es una excepción”, dijo Joseph Chen, investigador de fraude de Trend Micro, en el blog de Inteligencia de Seguridad de TrendLabs.

Los investigadores de Trend Micro descubrieron una campaña de publicidad maliciosa, el 21 de diciembre que dirige a los visitantes a sitios de alojamiento de Angler Exploit Kit. La publicidad maliciosa que se había creado bajo dominios legítimos les, señaló los servidores bajo su control. El tráfico se protegió con HTTPS mediante certificados Let’s Scrypt específicos para los subdominios, escribió Chen.

Podría interesarle: El CISO comparte consejos para mejorar la seguridad de la empresa

Let’s Encrypt automáticamente emite certificados de dominio validados (DV) a sitios web  comprobando el estado URL del phishing contra la API de navegación segura de Google. Una vez emitidos, estos no supervisan los certificados o toman ninguna acción.

“Sería poco práctico e ineficaz”, dijo Josh Aas, director ejecutivo del Grupo de Investigación de Seguridad de Internet. ISRG (por sus siglas en inglés) es el grupo de gestión de proyecto de Let’s Encrypt.

Let’s Scrypt no revocará los certificados emitidos para los subdominios utilizados en los ataques de publicidad maliciosa, pero parece que los sitios en cuestión han sido derribados.

¿Deben las autoridades de certificación cancelar los certificados emitidos a partidos ilícitos después de haber sido utilizados? Muchos expertos en seguridad creen que sí.

En un análisis de los ataques de phishing desde dominios engañosos, Netcraft encontró que un número significativo de ellos tenía los certificados digitales válidos. Teniendo en cuenta que los usuarios han sido entrenados para buscar HTTPS en el dominio antes de enviar información sensible en línea, los malos utilizan certificados reales que hacen esta práctica irrelevante.

Es más fácil para los propietarios de sitios web obtener e instalar certificados que se supone deban dar lugar a un Internet más fiable, ya que mejoraría la privacidad y autenticación en línea.

Además: 4 ciberamenazas que trae el año nuevo

Sin embargo, Aas dijo que el ecosistema del certificado no es el mecanismo adecuado para la vigilancia de phishing y malware en la Web. La Autoridad de Certificados (CA) no tiene suficiente visibilidad en curso sobre el contenido de los sitios, mientras que organizaciones como Google y Microsoft tienen infraestructuras en el lugar para identificar y analizar cada pieza del contenido.

Los fabricantes de navegadores han estado construyendo múltiples barreras contra phishing y anti protecciones de malware, que son “más eficaces y más apropiados” de lo que la CA puede hacer.

Este artículo está clasificado como: , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR