Exportar (0) Imprimir
Expandir todo

Documento informativo sobre seguridad de Microsoft 2982792

Los certificados digitales emitidos incorrectamente podrían permitir la suplantación de identidad

Publicado: 10 de julio de 2014 | Actualizado: 17 de julio de 2014

Versión: 2.0

Información general

Resumen ejecutivo

Microsoft tiene constancia de certificados SSL emitidos de forma incorrecta que se podrían usar en intentos de suplantar contenido, llevar a cabo ataques de suplantación de identidad (phishing) o realizar ataques de tipo “Man in the middle”. Los certificados SSL los emitió incorrectamente National Informatics Centre (NIC), que administra CA subordinadas en las CA raíz que administra la Oficina de entidades de certificación (CCA) del gobierno de la India, que son CA presentes en el almacén de entidades de certificación raíz de confianza. Este problema afecta a todas las versiones compatibles de Microsoft Windows. Microsoft no tiene constancia actualmente de ataques relacionados con este problema.

La CA subordinada se ha usado de un modo inadecuado para emitir certificados SSL de varios sitios, incluidas propiedades web de Google. Estos certificados SSL se pueden usar para suplantar contenido, llevar a cabo ataques de suplantación de identidad (phishing) o realizar ataques de tipo “Man in the middle” contra las propiedades web. Las CA subordinadas también se pueden haber usado para emitir certificados para otros sitios que actualmente se desconocen, que podrían estar sometidos a ataques similares.

Para proteger a los clientes del uso potencialmente fraudulento de este certificado digital, Microsoft va a actualizar la lista de confianza de certificados (CTL) de todas las versiones compatibles de Microsoft Windows para quitar la confianza de los certificados que provocan este problema. Para obtener más información acerca de estos certificados, vea la sección Preguntas más frecuentes de este documento informativo.

Recomendación. Se incluye un actualizador automático de los certificados revocados en las ediciones compatibles de Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2, así como para los dispositivos con Windows Phone 8 o Windows Phone 8.1. Para estos sistemas operativos o dispositivos, los clientes no tienen que llevar a cabo ninguna acción, porque la CTL se actualizará automáticamente.

Para los sistemas con Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 que usan el actualizador automático de certificados revocados (vea el artículo 2677070 de Microsoft Knowledge Base para obtener detalles), los clientes no tienen que llevar a cabo ninguna acción, porque la CTL se actualizará automáticamente.

Para los sistemas que ejecutan Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2, y que no tengan instalado el actualizador automático de certificados revocados, esta actualización no está disponible. Para recibir esta actualización, los clientes deben instalar el actualizador automático de certificados revocados (vea el artículo 2677070 de Microsoft Knowledge Base para obtener detalles). Los clientes en entornos desconectados y que ejecutan Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 pueden instalar la actualización 2813430 para recibir esta actualización (vea el artículo 2813430 de Microsoft Knowledge Base para obtener detalles).

Para los clientes con Windows Server 2003, Microsoft recomienda que se aplique la actualización 2982792 inmediatamente con el software de administración de actualizaciones, buscando actualizaciones del servicio Microsoft Update o descargando y aplicando la actualización manualmente. Para obtener más información, vea la sección Acciones recomendadas de este documento informativo.

Referencias del problema

Para obtener más información acerca de este problema, consulte las siguientes referencias:

Referencias

Identificación

Artículo de Microsoft Knowledge Base

2982792

Este documento informativo trata sobre el software que se indica a continuación.

Software afectado

Sistema operativo

Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 con SP2 para sistemas con Itanium

Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 2

Windows Server 2008 para sistemas de 32 bits Service Pack 2

Windows Server 2008 para sistemas x64 Service Pack 2

Windows Server 2008 para sistemas con Itanium Service Pack 2

Windows 7 para sistemas de 32 bits Service Pack 1

Windows 7 para sistemas x64 Service Pack 1

Windows Server 2008 R2 para sistemas x64 Service Pack 1

Windows Server 2008 R2 para sistemas con Itanium Service Pack 1

Windows 8 para sistemas de 32 bits

Windows 8 para sistemas x64

Windows 8.1 para sistemas de 32 bits

Windows 8.1 para sistemas x64

Windows RT

Windows RT 8.1

Windows Server 2012

Windows Server 2012 R2

Opción de instalación Server Core

Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core)

Windows Server 2008 para sistemas x64 Service Pack 2 (instalación Server Core)

Windows Server 2008 R2 para sistemas x64 (instalación Server Core)

Windows Server 2012 (instalación Server Core)

Windows Server 2012 R2 (instalación Server Core)

Dispositivos afectados

Windows Phone 8

Windows Phone 8.1

¿Por qué se ha actualizado este documento informativo el 17 de julio de 2014? 
El documento informativo se ha actualizado el 17 de julio de 2014 para anunciar la disponibilidad de la actualización 2982792 para las ediciones compatibles de Windows Server 2003. Para obtener más información, vea la sección Acciones sugeridas de este documento informativo.

¿Cuál es el alcance de este documento informativo? 
El propósito de este documento informativo es notificar a los clientes que National Informatics Centre (NIC) ha emitido incorrectamente certificados SSL para varios sitios, incluidas propiedades web de Google. Estos certificados SSL se pueden usar para suplantar contenido, llevar a cabo ataques de suplantación de identidad (phishing) o realizar ataques de tipo “Man in the middle” contra las propiedades web. Las CA subordinadas también se pueden haber usado para emitir certificados para otros sitios que actualmente se desconocen, que podrían estar sometidos a ataques similares.

¿Cuál es la causa del problema? 
Un certificado de CA subordinada se emitió de forma incorrecta por parte de National Informatics Centre (NIC), subordinada a la CA del gobierno de la India, que es una CA presente en el almacén de las entidades de certificación raíz de confianza.

¿Esta actualización corrige otros certificados digitales? 
Sí, además de corregir los certificados descritos en este documento informativo, esta actualización es acumulativa e incluye los certificados digitales descritos en los documentos informativos anteriores:

¿Qué es la criptografía? 
La criptografía es la ciencia de proteger la información mediante su conversión entre su estado normal y legible (texto no cifrado) y otro en el que el texto se oculta (texto cifrado).

En todas las formas de criptografía, un valor denominado clave se usa conjuntamente con un procedimiento denominado algoritmo de criptografía para transformar el texto no cifrado en texto cifrado. En el tipo de criptografía más conocido, la criptografía de clave secreta, el texto cifrado se transforma en texto cifrado mediante la misma clave. No obstante, en un segundo tipo de criptografía, la criptografía de clave pública, se usa una clave distinta para transformar el texto cifrado en texto no cifrado.

¿Qué es un certificado digital?  
En la criptografía de clave pública, una de las claves, denominada la clave privada, se debe mantener en secreto. La otra clave, denominada la clave pública, está diseñada para compartirla con los demás usuarios. No obstante, debe existir una forma para que el propietario de la clave comunique a los demás usuarios a quién pertenece la clave. Los certificados digitales ofrecen una forma de realizar esta operación. Un certificado digital es un elemento de datos a prueba de modificaciones que empaqueta una clave pública junto con información acerca de ella (de quién es, para qué se puede usar, cuándo expira, etc.).

¿Para qué se usan los certificados? 
Los certificados se usan principalmente para comprobar la identidad de una persona o disponible, autenticar un servicio o cifrar archivos. El usuario normalmente no piensa en los certificados. No obstante, es posible que aparezca un mensaje en el que se indica que un certificado ha expirado o no es válido. En estos casos, se deben seguir las instrucciones del mensaje.

¿Qué es una entidad de certificación?  
Las entidades de certificación son las organizaciones que emiten certificados. Establecen y comprueban la autenticidad de las claves públicas que pertenecen a personas o a otras entidades de certificación, y comprueban la identidad de una persona u organización que solicita un certificado.

¿Qué es una lista de certificados de confianza (CTL)?  
Debe existir confianza entre el destinatario de un mensaje firmado y el firmante del mensaje. Un método de establecer esta confianza es a través de un certificado, un documento electrónico que comprueba que las entidades o las personas son quienes declaran ser. Un tercero, que es de confianza de ambas partes, emite el certificado para una entidad. De este modo, cada destinatario de un mensaje firmado decide si el emisor del certificado del firmante es de confianza. CryptoAPI ha implementado una metodología para permitir que los desarrolladores creen aplicaciones que comprueben automáticamente los certificados con una lista predefinida de certificados o raíces de confianza. Esta lista de entidades de confianza (denominadas sujetos) se conoce como una lista de confianza de certificados (CTL). Para obtener más información, vea el artículo de MSDN Comprobación de la confianza de los certificados.

¿Qué podría hacer un atacante con estos certificados? 
Un atacante puede usar estos certificados para suplantar contenido, llevar a cabo ataques de suplantación de identidad (phishing) o realizar ataques de tipo “Man in the middle” contra las siguientes propiedades web:

  • google.com
  • mail.google.com
  • gmail.com
  • www.gmail.com
  • m.gmail.com
  • smtp.gmail.com
  • pop.gmail.com
  • imap.gmail.com
  • googlemail.com
  • www.googlemail.com
  • smtp.googlemail.com
  • pop.googlemail.com
  • imap.googlemail.com
  • gstatic.com
  • ssl.gstatic.com
  • www.static.com
  • encrypted-tbn1.gstatic.com
  • encrypted-tbn2.gstatic.com
  • login.yahoo.com
  • mail.yahoo.com
  • mail.yahoo-inc.com
  • fb.member.yahoo.com
  • login.korea.yahoo.com
  • api.reg.yahoo.com
  • edit.yahoo.com
  • watchlist.yahoo.com
  • edit.india.yahoo.com
  • edit.korea.yahoo.com
  • edit.europe.yahoo.com
  • edit.singapore.yahoo.com
  • edit.tpe.yahoo.com
  • legalredirect.yahoo.com
  • me.yahoo.com
  • open.login.yahooapis.com
  • subscribe.yahoo.com
  • edit.secure.yahoo.com
  • edit.client.yahoo.com
  • bt.edit.client.yahoo.com
  • verizon.edit.client.yahoo.com
  • na.edit.client.yahoo.com
  • au.api.reg.yahoo.com
  • au.reg.yahoo.com
  • profile.yahoo.com
  • static.profile.yahoo.com
  • openid.yahoo.com

¿Qué es el ataque del tipo “Man in the middle”?  
Un ataque del tipo “Man in the middle” se produce cuando un atacante reenruta la comunicación entre dos usuarios a través del equipo del atacante sin que lo sepan los dos usuarios que establecen la comunicación. Cada usuario de la comunicación envía el tráfico al atacante y lo recibe del mismo, sin darse cuenta, todo ello pensando que se está comunicando con el usuario de destino.

¿Qué va a hacer Microsoft para ayudar a resolver este problema?  
Aunque el problema no se debe a un producto de Microsoft, vamos a actualizar la CTL y a proporcionar una actualización para proteger a los clientes. Microsoft seguirá investigando este problema y puede realizar cambios futuros en la CTL o publicar una actualización futura para proteger a los clientes.

Después de aplicar la actualización, ¿cómo puedo consultar los certificados del almacén de certificados no confiables de Microsoft? 
Para los sistemas Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 que usan el actualizador automático de certificados revocados (vea el artículo 2677070 de Microsoft Knowledge Base para obtener detalles), y para los sistemas Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2, puede buscar en el registro de aplicación en el Visor de eventos una entrada con los siguientes valores:

  • Fuente: CAPI2
  • Nivel: Información
  • Id. del evento: 4112
  • Descripción: Actualización automática correcta de la lista de certificados no permitidos con fecha de vigencia: jueves 3 de julio de 2014 (o posterior).

Para sistemas que no usan el actualizador automático de certificados revocados, en el complemento de MMC Certificados, compruebe que se ha agregado el siguiente certificado a la carpeta Certificados en los que no se confía:

Certificado

Publicado por

Huella digital

Entidad de certificación NIC

CCA India 2007

‎48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf

NIC CA 2011

CCA India 2011

‎c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2

NIC CA 2014

CCA India 2014

‎d2 db f7 18 23 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a


Nota Para obtener información acerca de cómo ver certificados con el complemento de MMC, vea el artículo de MSDN Procedimientos: Ver certificados con el complemento de MMC.

Aplicar la actualización a las versiones compatibles de Microsoft Windows

Se incluye un actualizador automático de los certificados revocados en las ediciones compatibles de Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2, así como para los dispositivos con Windows Phone 8 o Windows Phone 8.1. Para estos sistemas operativos o dispositivos, los clientes no tienen que llevar a cabo ninguna acción, porque la CTL se actualizará automáticamente.

Para los sistemas con Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 que usan el actualizador automático de certificados revocados (vea el artículo 2677070 de Microsoft Knowledge Base para obtener detalles), los clientes no tienen que llevar a cabo ninguna acción, porque la CTL se actualizará automáticamente.

Para los sistemas que ejecutan Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2, y que no tengan instalado el actualizador automático de certificados revocados, esta actualización no está disponible. Para recibir esta actualización, los clientes deben instalar el actualizador automático de certificados revocados (vea el artículo 2677070 de Microsoft Knowledge Base para obtener detalles). Los clientes en entornos desconectados y que ejecutan Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 pueden instalar la actualización 2813430 para recibir esta actualización (vea el artículo 2813430 de Microsoft Knowledge Base para obtener detalles).

Para los clientes con Windows Server 2003, Microsoft recomienda que se aplique la actualización 2982792 inmediatamente con el software de administración de actualizaciones, buscando actualizaciones del servicio Microsoft Update o descargando y aplicando la actualización manualmente. Para obtener los vínculos de descarga, vea el artículo 2982792 de Microsoft Knowledge Base.

Acciones adicionales recomendadas

  • Proteja su PC

    Seguimos recomendando a los clientes que apliquen los consejos de la sección Proteja su PC; a saber: habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. Para obtener más información, visite el Centro de seguridad y protección de Microsoft.

  • Mantener actualizado el software de Microsoft

    Los usuarios que ejecutan software de Microsoft deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite Microsoft Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene habilitadas y configuradas las actualizaciones automáticas para los productos de Microsoft, las actualizaciones se entregan cuando se publican, pero debe asegurarse de que están instaladas.

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, visite los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).

Comentarios

Soporte técnico

Renuncia

La información proporcionada en este documento informativo se suministra “tal cual”, sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

  • V1.0 (10 de julio de 2014): Publicación del documento informativo.
  • V2.0 (17 de julio de 2014): se ha revisado el documento informativo para anunciar la disponibilidad de la actualización 2982792 para las ediciones compatibles de Windows Server 2003. Para obtener más información, vea la sección Acciones sugeridas de este documento informativo.

Página generada el 2014-07-31 13:34Z-07:00.
¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2015 Microsoft