Documento informativo sobre seguridad de Microsoft (2728973)

¿Cuál es el alcance de este documento informativo? 
El propósito de este documento informativo es notificar a los clientes que Microsoft tiene constancia de entidades emisoras de certificados de Microsoft que se encuentran fuera de los procedimientos de almacenamiento seguro recomendados. Tras una revisión de rutina y como medida de prevención, hemos colocado estos certificados en el almacén de certificados que no son de confianza y los hemos sustituido por entidades emisoras de certificados que cumplen nuestros elevados estándares en la administración de infraestructuras de clave pública (PKI). No tenemos constancia de que se haya producido ningún uso incorrecto de las entidades emisoras de certificados, pero estamos llevando a cabo acciones de prevención para proteger a los clientes. Este problema afecta a todas las versiones compatibles de Microsoft Windows.

Microsoft ha publicado una actualización para todas las versiones compatibles de Microsoft Windows que corrige el problema.

¿Esta actualización corrige otros certificados digitales no autorizados? 
Sí, además de corregir los veintiocho certificados no autorizados descritos en este documento informativo, esta actualización es acumulativa y corrige los certificados digitales no autorizados descritos en los documentos informativos anteriores: Documento informativo sobre seguridad de Microsoft 2524375, Documento informativo sobre seguridad de Microsoft 2607712, Documento informativo sobre seguridad de Microsoft 2641690, y Documento informativo sobre seguridad de Microsoft 2718704.

Tenga en cuenta que aunque esta actualización corrige los certificados descritos en los documentos informativos anteriores, no contiene toda la funcionalidad introducida en los documentos informativos anteriores. Para obtener más información, vea Problemas conocidos en el artículo 2728973 de Microsoft Knowledge Base.

¿Windows 8 Release Preview o Windows Server 2012 Release Candidate están afectados por el problema tratado en este documento informativo? 
Sí. La actualización está disponible para Windows 8 Release Preview y Windows Server 2012 Release Candidate. Se recomienda que los usuarios con Windows 8 Release Preview y Windows Server 2012 Release Candidate apliquen las actualizaciones a sus sistemas. Para obtener más información acerca de cómo aplicar la actualización para Windows 8 Release Preview y Windows Server 2012 Release Preview, vea la sección Acciones recomendadas de este documento informativo.

¿Qué es la criptografía?
La criptografía es la ciencia de proteger la información mediante su conversión entre su estado normal y legible (texto no cifrado) y otro en el que el texto se oculta (texto cifrado).

En todas las formas de criptografía, un valor denominado clave se usa conjuntamente con un procedimiento denominado algoritmo de criptografía para transformar el texto no cifrado en texto cifrado. En el tipo de criptografía más conocido, la criptografía de clave secreta, el texto cifrado se transforma en texto cifrado mediante la misma clave. No obstante, en un segundo tipo de criptografía, la criptografía de clave pública, se usa una clave distinta para transformar el texto cifrado en texto no cifrado.

¿Qué es un certificado digital?
En la criptografía de clave pública, una de las claves, denominada la clave privada, se debe mantener en secreto. La otra clave, denominada la clave pública, está diseñada para compartirla con los demás usuarios. No obstante, debe existir una forma para que el propietario de la clave comunique a los demás usuarios a quién pertenece la clave. Los certificados digitales ofrecen una forma de realizar esta operación. Un certificado digital es un elemento de datos a prueba de modificaciones que empaqueta una clave pública junto con información acerca de ella: de quién es, para qué se puede usar, cuándo expira, etc.

¿Para qué se usan los certificados?
Los certificados se usan principalmente para comprobar la identidad de una persona o disponible, autenticar un servicio o cifrar archivos. El usuario normalmente no piensa en los certificados. No obstante, es posible que aparezca un mensaje en el que se indica que un certificado ha expirado o no es válido. En estos casos, se deben seguir las instrucciones del mensaje.

¿Qué es una entidad de certificación?
Las entidades de certificación son las organizaciones que emiten certificados. Establecen y comprueban la autenticidad de las claves públicas que pertenecen a personas o a otras entidades de certificación, y comprueban la identidad de una persona u organización que solicita un certificado.

¿Qué es una lista de certificados de confianza (CTL)?
Debe existir confianza entre el destinatario de un mensaje firmado y el firmante del mensaje. Un método de establecer esta confianza es a través de un certificado, un documento electrónico que comprueba que las entidades o las personas son quienes declaran ser. Un tercero, que es de confianza de ambas partes, emite el certificado para una entidad. De este modo, cada destinatario de un mensaje firmado decide si el emisor del certificado del firmante es de confianza. CryptoAPI ha implementado una metodología para permitir que los desarrolladores creen aplicaciones que comprueben automáticamente los certificados con una lista predefinida de certificados o raíces de confianza. Esta lista de entidades de confianza (denominadas sujetos) se conoce como una lista de confianza de certificados (CTL). Para obtener más información, vea el artículo de MSDN Comprobación de la confianza de los certificados.

¿Cuál es la causa del problema?
Microsoft tiene constancia de entidades emisoras de certificados de Microsoft que se encuentran fuera de los procedimientos de almacenamiento seguro recomendados. No tenemos constancia de que se haya producido ningún uso incorrecto de las entidades emisoras de certificados, pero estamos llevando a cabo acciones de prevención para proteger a los clientes.

¿Para qué puede usar un atacante esta vulnerabilidad ? 
Un atacante puede usar estos certificados para suplantar contenido, llevar a cabo ataques de suplantación de identidad (phishing) o realizar ataques de tipo "Man in the middle".

¿Qué es el ataque del tipo "Man in the middle"?
Un ataque del tipo "Man in the middle" se produce cuando un atacante reenruta la comunicación entre dos usuarios a través del equipo del atacante sin que lo sepan los dos usuarios que establecen la comunicación. Cada usuario de la comunicación envía el tráfico al atacante y lo recibe del mismo, sin darse cuenta, todo ello pensando que se está comunicando con el usuario de destino.

¿Qué va a hacer Microsoft para ayudar a resolver este problema?
Hemos colocado las entidades emisoras de certificados de Microsoft afectadas en el almacén de certificados que no son de confianza y las hemos sustituido por entidades emisoras de certificados que cumplen nuestros elevados estándares en la administración de infraestructuras de clave pública (PKI).

Después de aplicar la actualización, ¿cómo puedo consultar los certificados del almacén de certificados no confiables de Microsoft?  
Para sistemas que utilizan el actualizador automático de certificados revocados (vea el artículo 2677070 de Microsoft Knowledge Base para obtener más detalles), incluidos Windows 8 Release Preview y Windows Server 2012 Release Candidate, puede buscar una entrada con los siguientes valores en el Registro de aplicaciones en el Visor de eventos:

• Fuente: CAPI2
• Nivel: Información
• Id. del evento: 4112
• Descripción: Actualización automática correcta de la lista de certificados no permitidos con fecha de vigencia: jueves 21 de junio de 2012 (o posterior).

Para sistemas que no utilizan el actualizador automático de certificados revocados, en el complemento de MMC Certificados, compruebe que se han agregado los siguientes certificados a la carpeta Certificados en los que no se confía:

Nota Para obtener información acerca de cómo ver certificados con el complemento de MMC, vea el artículo de MSDN Procedimientos: Ver certificados con el complemento de MMC.

Para las ediciones compatibles de Windows XP y Windows Server 2003

La mayoría de los clientes tienen habilitada la actualización automática y no deben realizar ninguna acción porque la actualización KB2728973 se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas de la actualización automática, vea el artículo 294871 de Microsoft Knowledge Base.

Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualización KB2728973 manualmente, Microsoft recomienda que los clientes apliquen la actualización inmediatamente con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update. Para obtener más información acerca de cómo aplicar la actualización, vea el artículo 2728973 de Microsoft Knowledge Base.

Para las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 Release Preview y Windows Server 2012 Release Preview

La mayor parte de los clientes tienen habilitadas las actualizaciones automáticas y no necesitan llevar a cabo ninguna acción, ya que el actualizador automático de certificados revocados corregirá el problema y agregará los certificados al almacén de certificados que no son de confianza de forma automática.

El actualizador automático de certificados revocados está disponible para Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 a través del servicio Microsoft Update y se describe en el artículo 2677070 de Microsoft Knowledge Base. El actualizador automático de certificados que no son de confianza se incluye en Windows 8 Release Preview y Windows Server 2012 Release Candidate.

Para usuarios finales que no tienen el actualizador automático de certificados revocados (2677070) o para sistemas que no tengan conexión a Internet, Microsoft recomienda a sus clientes que apliquen la actualización KB2728973 de forma manual lo antes posible. Para obtener más información acerca de cómo aplicar la actualización manualmente, vea el artículo 2728973 de Microsoft Knowledge Base.

Para administradores e instalaciones empresariales, Microsoft recomienda que los clientes apliquen inmediatamente la actualización con el software de administración de actualizaciones. Para obtener más información acerca de la actualización, vea el artículo 2728973 de Microsoft Knowledge Base.