En respuesta a la invasión de Ucrania por parte del presidente Vladimir Putin, muchos gobiernos occidentales han impuesto sanciones que han prohibido a las empresas realizar negocios con Rusia.
Entre estas empresas se encuentran las autoridades de certificación (CA) públicas de terceros que emiten certificados digitales para sitios web, con el fin de validar un dominio de sitio web y permitir una mayor confianza en las comunicaciones y transacciones en línea.
Qué significa
Antes de la invasión de Ucrania, los sitios web de muchas empresas con sede en Rusia adquirían y renovaban certificados TLS a través de autoridades de terceros como DigiCert o GoDaddy. Sin embargo, el creciente número de sanciones impuestas a Rusia significa que estos sitios web no podrán renovar los certificados; sus sitios dejarán de ser confiables para los navegadores web. Como medida de precaución, los navegadores web modernos bloquearán el acceso a esos sitios o, al menos, emitirán advertencias que podrían disuadir a los consumidores de visitarlos.
En respuesta, Rusia ha establecido su propia CA nacional para emitir certificados TLS. Si bien bajo diferentes circunstancias, esta no es una iniciativa única. Otros estados han intentado hacerlo, cada uno con sus propias razones, pero rara vez con el objetivo de mejorar la confianza en línea. Esta medida genera preocupaciones de que el pueblo ruso será más vulnerable a los ciberataques y al espionaje de su propio gobierno.
Por qué es importante
Está claro que el conflicto entre Rusia y Ucrania tiene un impacto en todos los frentes y en todos los ámbitos. En Ucrania, las vidas y los medios de subsistencia de personas inocentes están en grave riesgo. Tanto en Ucrania como en Rusia, la libertad está bajo asedio, incluidas las que existen dentro del panorama digital.
Si bien el conflicto ha perturbado gravemente la vida de los ciudadanos, no ha puesto en pausa las necesidades comerciales. Las empresas dentro de Rusia deben seguir operando y un componente clave de esto depende de su capacidad para operar su sitio web de forma segura con certificados digitales, exponiendo la dependencia rusa del sistema de confianza que se ha establecido en Internet durante los últimos más de 20 años.
El establecimiento por parte de Rusia de su propia CA estatal plantea una miríada de preocupaciones. La primera se refiere a la libertad digital y la privacidad de los datos. En Rusia, donde los temores al cibercrimen y la vigilancia represiva son rampantes, las implicaciones del control sobre los ciudadanos e Internet dentro de Rusia son de gran alcance.
Con una “CA amigable con el estado”, es posible que un gobierno intercepte el intento de una persona de acceder a un sitio determinado y haga cualquier cosa, desde escuchar comunicaciones hasta reemplazar un sitio con su propia página web (falsa). A su vez, esto brinda una oportunidad para que el gobierno lance software espía que monitoree la actividad de un usuario en un sitio web determinado.
La segunda preocupación principal es de naturaleza más operativa. Las CA confirman que un dominio pertenece a una entidad verificada, lo que significa que deben ser reconocidas por los navegadores web como confiables y legítimas. Actualmente, solo dos navegadores reconocen la nueva CA de Rusia como confiable: el Open-source Atom y Yandex, con sede en Rusia.
Bloquear a las empresas rusas la adquisición de certificados de confianza pública tendrá un impacto negativo general en la seguridad de Internet y, por lo tanto, en las empresas de Rusia, ya que los ciudadanos no podrán realizar actividades como comprar, pagar impuestos o realizar operaciones bancarias en línea.
El panorama general
Los estados-nación ya han enfrentado graves interrupciones en la cadena de suministro causadas por la pandemia de COVID-19. Y con muchas economías globales rompiendo lazos con Rusia y la producción local de Ucrania deteniéndose, se espera que estas interrupciones solo empeoren.
Muchos líderes mundiales buscan reducir la dependencia de sus países de la cadena de suministro global. Por ejemplo, países como Estados Unidos están investigando la independencia energética para resolver la necesidad de importar petróleo y otras fuentes de energía extranjeras.
Decisiones como estas no deben tomarse a la ligera. En el ámbito digital, el impacto a largo plazo podría cambiar fundamentalmente Internet, que siempre ha sido una plataforma abierta y accesible. Una Internet abierta depende de la interacción entre factores técnicos, comerciales y políticos. Establecer “fronteras” en la Internet global tiene graves repercusiones.
El Certification Authority Browser Forum, también conocido como CA/Browser Forum, es un organismo de colaboración entre las CA y navegadores web populares como Firefox (Mozilla), Chrome (Google), Safari (Apple) y Edge (Microsoft).
En esencia, el consorcio voluntario regula la cadena de suministro de confianza que respalda la seguridad de Internet; en este caso, el Foro rige la emisión y gestión de certificados de confianza pública. Restringir a quién las CA miembros emiten certificados podría significar una Internet menos abierta.
Tal como está actualmente, la CA creada por Rusia no es de confianza para ningún navegador importante y el proceso para obtener la acreditación lleva meses, esto es, si el CA/Browser Forum o Rusia estuvieran interesados en llevar a cabo esa acción.
Sin embargo, a medida que los impactos a largo plazo de estas interrupciones en la cadena de suministro surtan efecto, las naciones deben considerar si sus organizaciones podrán gestionar eficazmente las raíces de confianza antes —o cuando— implementen su propio servicio de CA. Hacerlo introducirá nuevos desafíos para que las organizaciones trabajen con las CA en esas regiones, especialmente al crear certificados digitales para autenticar la información compartida en línea.
A medida que el panorama de las CA y la confianza cambia inevitablemente, la criptografía desempeña un papel significativo en cualquier servicio digital. Sin la capacidad de cifrar, y por lo tanto asegurar, las transmisiones de datos a través de Internet, gran parte de lo que hacemos en línea sería imposible. A la luz de estos nuevos problemas, la agilidad criptográfica —la capacidad de cambiar rápida y fácilmente los procesos de cifrado, firmas y certificados— será imperativa para las empresas que deseen operar en la era moderna.
Independientemente de cómo evolucione el panorama, la creación de la CA de Rusia plantea importantes preguntas sobre el futuro de Internet y exige que las organizaciones reconsideren su capacidad para adaptarse a estos cambios y mantenerse cripto-ágiles mientras continúan realizando negocios de forma segura.
