Un grupo de 38 profesores de ciberseguridad y expertos en TI de todo el mundo, junto con Electronic Frontier Foundation (EFF), firmaron una carta a los reguladores de la UE que advierte sobre una propuesta que podría exponer a los usuarios de Internet al ciberdelito.
Más concretamente, los expertos destacan los problemas de la propuesta de modificación del artículo 45 relativa al establecimiento de un marco para una identidad digital europea. La disposición particular requiere que los navegadores web como Chrome, Safari y Firefox acepten QWAC (Certificados de autenticación de sitios web calificados), lo que prácticamente obliga a los desarrolladores de navegadores y defensores de la seguridad a relajar su postura de seguridad.
Certificados TLS del sitio web
Los sitios web que usan certificados TLS brindan garantías de seguridad al cifrar la comunicación entre la computadora de un usuario y el servidor que aloja el sitio y probar la identidad del propietario en muchos casos. Las señales de certificados válidos aparecen en forma de candado en la barra de direcciones URL y la URL comienza con «https://» en lugar de «http://».
Estos certificados están firmados por una autoridad de confianza que ha verificado la identidad de la organización conectada a un dominio y tienen fechas de vencimiento, luego de lo cual el propietario debe adquirir uno nuevo.
Los certificados TLS son vitales para el intercambio en línea de información confidencial con sitios web, como contraseñas, cargas confidenciales o detalles de pago.
Sin ellos, cualquier malhechor podría falsificar un sitio web y afirmar que es la organización que necesita para explotar a los usuarios de Internet.
Una propuesta arriesgada
Como parte de la enmienda al Artículo 45, los legisladores de la UE quieren obligar a los navegadores a aceptar certificados QWAC para mejorar la autenticación en la Web y crear un sistema más optimizado de cumplimiento de GDPR, información del propietario y garantías de transacción de datos.
Los QWAC combinan TLS y la identificación electrónica en un solo certificado, vinculando la identidad con la implementación de TLS, creando teóricamente un sistema transparente y tecnológicamente neutral.
Si bien las intenciones de los legisladores son sinceras, su falta de comprensión técnica hace que la propuesta esté mal concebida, según EFF y también Mozilla, quien anteriormente planteó los siguientes cuatro puntos en contra de la adopción de QWAC:
- El enlace criptográfico de un QWAC a una conexión o certificado TLS violará las disposiciones de la regulación eIDAS, relacionadas con la autenticación de sitios web, la neutralidad tecnológica y la interoperabilidad.
- Vincular TLS con QWAC limita la neutralidad tecnológica y la interoperabilidad en el mercado digital de la UE y perjudica la capacidad de las entidades de la UE para competir en la economía global.
- Los servicios de terceros asignados con la tarea de manejar los procedimientos de validación pueden acceder a la actividad de navegación del usuario, o rastrear y perfilar a los usuarios, sin ningún tipo de supervisión.
- La inclusión automática de proveedores de servicios de validación designados en la autoridad de certificación raíz, que es mucho más estricta, introduciría una lista blanca forzada y riesgosa por dictado del gobierno.
La carta enviada a los miembros del Parlamento Europeo advierte sobre fallas de implementación técnica en los QWAC, que son la razón principal que impide su adopción masiva desde 2014, cuando se introdujo por primera vez el nuevo sistema de autenticación de sitios web.
“El marco de identidad digital exige que los navegadores acepten QWAC emitidos por proveedores de servicios de confianza, independientemente de las características de seguridad de los certificados o las políticas que rigen su emisión”, se lee en la carta enviada a los reguladores de la UE.
“Este enfoque legislativo introduce debilidades significativas en el ecosistema global de múltiples partes interesadas para proteger la navegación web y aumentará significativamente los riesgos de ciberseguridad para los usuarios de la web”.
“El enfoque de política con el Artículo 45 revisado señala una peligrosa tendencia de política de seguridad cibernética. Obliga a los actores privados a renunciar a su deber para con quienes usan sus productos y servicios, al suponer que debido a que las autoridades de certificación designadas por el gobierno están sujetas a los estándares de seguridad del gobierno, no pueden representar un riesgo de seguridad cibernética”.
El mandato propuesto obliga a los proveedores a aceptar tecnología que creen que es insegura y tiene problemas fundamentales de privacidad, lo que va en contra de las normas de seguridad establecidas, lo que hace que las respuestas rápidas a las amenazas cambiantes sean prácticamente imposibles.
Las preocupaciones con respecto a QWAC son detalles en un hilo de Twitter de Ryan Sleevi de Google. La mayor preocupación es que los malos actores puedan hacerse pasar por sitios web legítimos para interceptar datos en tránsito, lo que podría conducir a delitos financieros y casos de robo de identidad.
Los casos de ataque que involucran portales de comercio electrónico o gobierno electrónico falsificados podrían sentar las bases para violaciones masivas de datos que aprovecharían las brechas de seguridad introducidas por la nueva legislación. Mozilla también se ha opuesto a esta propuesta en un documento de consulta enviado a la Comisión de la UE en octubre de 2020, explicando los riesgos de los QWAC con gran detalle.
El período de comentarios para esta propuesta finalizó en septiembre de 2021, por lo que la carta enviada hoy por los expertos en ciberseguridad es un último esfuerzo para convencer a los legisladores de la UE de que deben modificar su propuesta en consecuencia.