¡Hola, malditas y malditos! Llega el martes y con él el consultorio de Maldita Tecnología. Seguimos respondiendo a vuestras dudas relacionadas con los efectos de la invasión de Rusia a Ucrania en el mundo digital. Hoy, en concreto, sobre cómo funciona la red propia de internet en la que Rusia lleva años trabajando y qué son y qué implica que el país use certificados SSL propios. También nos habéis preguntado por el hecho de que Google esté pidiendo el DNI para verificar la edad de algunos usuarios.
Si os continúan surgiendo dudas, podéis enviárnoslas de varias maneras: a través de este formulario, mandando un correo a [email protected], con un mensaje a nuestro Facebook, a nuestro Twitter o a nuestro chatbot de WhatsApp (+34 644 229 319).
¿Qué son los certificados SSL y qué implica que Rusia esté emitiendo los suyos propios?
A raíz de las sanciones a Rusia por su invasión a Ucrania, algunas empresas y particulares se están encontrando con problemas para renovar los certificados SSL que permiten la conexión segura a las páginas webs. Como ya os explicamos cuando os hablábamos de la Agencia Tributaria y su conexión, un certificado SSL garantiza que la conexión entre nuestro navegador y la página web que estemos visitando sea segura y cifrada y ningún intermediario (nuestro operador o un ciberatacante) pueda ver qué hacemos o qué datos introducimos en ella. Por ello, cada vez que nos conectamos a un sitio que disponga de uno, nos aparece un candado y el enlace comienza por ‘https’.
¿Qué está ocurriendo ahora? Las entidades que emiten estos certificados no pueden procesar los pagos de la renovación a sus clientes rusos por el paro en las operaciones en el país de empresas como Visa, Mastercard o American Express, según recogió el medio especializado Bleeping Computer.
En respuesta a esto, el Ministerio de Transformación Digital de Rusia está generando nuevos certificados SSL para los dominios rusos que se vean en la tesitura de no poder renovar los que tenían por el momento, expedidos por entidades autorizadas occidentales como Cloudflare, GlobalSign o DigiCert. Entonces, ¿qué implica que Rusia expida sus propios certificados? ¿Afecta a la seguridad de las webs y a sus visitantes? ¿Son igual de seguros?
Para que una web obtenga un certificado SSL y a los usuarios se nos muestre ese característico ‘https’ al entrar en ella, tiene que existir una autoridad reconocida por los navegadores que sea la que avale esta conexión segura mediante dicho certificado. Algunos ejemplos son Let’s Encrypt, que los ofrece de forma gratuita, Cloudflare, GlobalSign o DigiCert, como ya hemos comentado, además de organismos públicos como la Fábrica Nacional de Moneda y Timbre, en el caso de España.
La cosa no queda ahí: los navegadores tienen que ‘confiar’ en la entidad que emite el certificado. Es decir, que para que aparezca el candado y se nos garantice que la conexión es segura, no vale con cualquier certificado ni cualquier autoridad, sino que tiene que ser una reconocida por los navegadores, tal y como se especifica en las páginas de soporte de Mozilla Firefox o Google Chrome, por ejemplo. Si no, lo usual es que se nos muestre un aviso informándonos de que no se conoce quién ha emitido el certificado y que por tanto nuestra conexión puede estar comprometida.
Tal y como explica Marc Almeida, analista técnico, “todo esto es una cuestión de confianza: los desarrolladores de navegadores y de sistemas operativos tienen que fiarse de estas autoridades (de las que se presupone ciertos estándares de seguridad) e incorporarlos a sus programas”.
El experto añade que “no parece que compañías estadounidenses como Microsoft (Windows y Edge), Apple (Mac, iOS y Safari), Google (Android y Chrome) o Mozilla (Firefox) vayan a hacerlo, sobre todo cuando la gran mayoría de cuestiones sobre Internet están estandarizadas bajo prismas de empresas estadounidenses, y menos ahora en el contexto de la invasión a Ucrania”. Como os hemos ido contando en Maldita.es, estas grandes empresas han tomado medidas contra el Gobierno ruso prácticamente desde el momento en el que comenzó el ataque contra Ucrania. Entre ellas, bloquear el acceso a agencias estatales rusas o paralizar sus servicios en el país ruso.
Según la información de Bleeping Computer, sólo los navegadores de origen ruso, Yandex y Athom, confían en los certificados emitidos por el Gobierno ruso, lo que aumenta el aislamiento de actores extranjeros como Google o Mozilla en la red del país. Si utilizamos otro navegador, tendríamos decirle manualmente que confíe en ese emisor de certificados: para hacerlo, tendríamos que descargar el certificado raíz desde la página de Gosuslugi (un portal oficial de servicios electrónicos ruso) y añadirlo manualmente a la lista de autoridades en las que se confía en nuestro navegador (normalmente, en el apartado Certificados) o instalarlo en nuestro ordenador.
“Usar un certificado no reconocido y no controlado entraña algunos riesgos, como que la entidad certificadora saque su propio certificado para webs de otros países para realizar ataques Man in the Middle contra sus ciudadanos”, advierte Jorge Louzao, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes. Como explicó nuestra también maldita Susana Regalado, un ataque Man in the Middle (“ponerse en el medio”) “consiste en interponerse entre el usuario y la web para saber todo lo que hace y poder modificarlo a su gusto”.
“Como además Rusia tiene en marcha sus propios servidores DNS, no es muy difícil que el país pueda redirigir el tráfico de los usuarios rusos que quieran acceder a www.google.com hacia un servidor intermedio donde ejecute este ataque”, explica Louzao.
Que Rusia emita sus propios certificados también coloca al país en una situación en la que controla más las conexiones en su territorio: “Al igual que pasa con los operadores y nuestra conexión a Internet, que pueden saber a qué nos estamos conectando, aquí sucede lo mismo pero va un paso más allá, porque que Rusia emita sus propios certificados implica que pueden conocer las claves que cifran y descifran la información, por lo que tiene las llaves para saber qué pasa en cada conexión”, añade Almeida.
“Eso sí, si el certificado está bien configurado con los estándares de seguridad, las claves podrían ir cambiando a menudo y no sería tan fácil de descifrar el tráfico”, puntualiza Louzao. No obstante, el experto en ciberseguridad apunta a que, “de todos modos, en un lugar con las libertades cercenadas como lo es Rusia, tienen otros métodos para conocer la información de los usuarios como por ejemplo, obligando a los proveedores a revelar datos de sus clientes”. *
¿En qué consiste la red interna de internet en la que trabaja Rusia? ¿En qué estado está?
En el mundo, hay países que tienen su propio Internet, más o menos aislados del resto de la red, como China o Corea del Norte, en los que los gobiernos regulan al milímetro las conexiones y sus ciudadanos no pueden acceder a Internet de forma libre como sí puede hacerse en otros países occidentales. Los europeos, por ejemplo. Rusia está entre los países que han trabajado en la construcción de una red propia independiente del resto, llamada Runet. A raíz de la guerra que ha iniciado contra Ucrania y las medidas que han tomado las empresas tecnológicas contra el Kremlin, se habla de que este será el momento en el que desplegará esta infraestructura para desconectarse del Internet global que conocemos. ¿Es esto cierto? ¿En qué punto está? ¿Y en qué nos afectaría al resto de usuarios?
El Índice de Libertad en Internet, elaborado anualmente por Freedom House y que mide indicadores como los obstáculos de acceso a la red, las limitaciones al contenido y las violaciones de los derechos de los usuarios, califica a Rusia como un país en el que el acceso a Internet es “no libre”. De 0 a 100 puntúan el acceso a Internet con un 30 por las intrusiones del Gobierno en el acceso a la red de los ciudadanos.
En 2019, este país aprobó la Ley de Internet Soberana, una legislación que comenzó a sentar las bases para la independencia de la red rusa (Runet) frente al resto de las conexiones globales. Según el think-tank alemán DGAP, enfocado en las relaciones internacionales del país y de la Unión Europea, con esta legislación Rusia fijó tres objetivos: “el primero, crear un mecanismo de vigilancia de Internet que permita desconectar sitios si consideran que suponen ‘una amenaza para el país’; el segundo, que el Estado tenga un fuerte papel en la regulación de la infraestructura de la red; y el tercero, la creación de un sistema de DNS propios para controlar las conexiones de los usuarios”.
De hecho, el país ya probó a desconectarse de la red global de Internet en junio y julio de 2021, usando para ello, entre otras cuestiones, sus propios DNS que, como ya os hemos explicado en Maldita.es, son los que permiten traducir los dominios en las direcciones IP de los servidores donde se ubican las páginas webs que queremos visitar. Si los usuarios rusos usan estos DNS desarrollados por el Gobierno ruso, este podría filtrar qué páginas se pueden consultar y cuáles no.
Además, tal y como explica en este artículo de The Conversation William Partlett, investigador sobre derecho público en la Universidad de Melbourne, Rusia, durante las últimas elecciones parlamentarias de septiembre de 2021, el Kremlin obligó a Google y a Apple a eliminar de la Play Store y de la App Store una aplicación desarrollada por la oposición para seguir el recuento de las votaciones. El país amenazó entonces a las dos tecnológicas con perseguir a sus empleados en el país y con prohibir Apple Pay y Google Pay, así como con disminuir la velocidad de la conexión a sus servicios si no cumplía con su requerimiento.
En esta publicación en la revista del Instituto de Tecnología de Massachusetts (MIT) advierten que las intenciones de Rusia de separarse del resto de la red “podrían llevar al fin de Internet como una única red de comunicaciones global, porque aunque China o Irán tengan fuertes restricciones, utilizan la misma tecnología que Estados Unidos o la Unión Europea”. “Con Rusia se crearía un splinternet, una división entre la manera de conectarnos a ella”, refleja el texto.
También consideran que “los organismos internacionales que actualmente regulan Internet, como la ICANN para los dominios, podrían dejar de ser la referencia para Rusia, que podría sacar los suyos propios para operar en el país”. De hecho, el país pidió que las páginas webs estatales y los servidores en las que estaban alojados pasasen a un dominio .ru y se almacenasen dentro de las fronteras rusas para prevenir ciberataques.
Lo mismo sucede con los certificados SSL: Rusia creó su propia autoridad emisora de certificados para evitar que las webs rusas se queden sin protección al depender de organismos estadounidenses para obtener esta certificación, como hemos comentado en la pregunta previa.
El país ha dado ya varios pasos para aislar su conexión a la red de redes, pero, ¿implica esto que Rusia se desconectará por completo de Internet? Natalia Krapiva, responsable del equipo legal de Access Now, comenta a Maldita.es que “una desconexión total parece difícil porque Rusia está bastante interconectada a la red y a la economía global, y requeriría un enorme esfuerzo técnico y político para llevarlo a cabo, aunque con las sanciones internacionales, por la invasión a Ucrania, esto podría estar más cerca”.
“Si sucede, sería devastador para la sociedad civil rusa, pues dañaría su economía y los derechos humanos, además de dejarlos sin alternativas de información y a merced de la vigilancia, censura y propaganda estatal de Rusia”, prosigue la experta legal. “La cuestión es que Rusia no tiene aplicaciones alternativas consolidadas, como sí tiene China con WeChat, por ejemplo, por lo que la red rusa se parecería más a Corea del Norte que a la china”, finaliza Krapiva.
Es decir, que por el momento no parece que esta desconexión sea tan sencilla y, por lo tanto, no podemos esperar que ocurra de forma inmediata, pero si se llegara a producir el aislamiento sería más similar al de un país autoritario que limita los contenidos y el acceso que tiene la ciudadanía a Internet.
Tampoco sería fácil de poner en marcha a nivel infraestructura: “El mercado de tecnologías de la información, hardware y software del que Rusia depende está gravemente dañado ahora mismo”, explica a The New York Times Aliaksandr Herasimenka, investigador en el programa de democracia y tecnología en la Universidad de Oxford. Yandex, empresa propietaria del principal buscador de Rusia, ya advirtió de que debido a la crisis actual no podría mantenerse al tanto de sus deudas, tal y como recoge el diario estadounidense.
La agencia de noticias no gubernamental rusa Interfax recoge un comunicado del Ministerio de Tecnología Digital y Comunicaciones de Rusia que dice que se están “preparando para varios escenarios” que aseguren la conexión de “recursos rusos” y que “no hay planes para cortar Internet desde dentro del país”. No hay más referencias oficiales que confirmen o desmientan cuáles son los planes de Rusia al respecto.
¿Por qué me pide Google mi DNI para verificar la edad? ¿Es seguro?
Nos habéis hecho llegar una notificación de Google que muestra cómo la empresa pide que se aporte un documento válido de identidad o una tarjeta de crédito para “verificar tu edad”, una consulta que la empresa no enmarca en ningún contexto determinado, sino en una medida global para comprobar la edad de los usuarios. En otras ocasiones, es posible que también os haya pedido aportar un DNI para visualizar determinado contenido en YouTube, normalmente aquel que está etiquetado para adultos. Pedir un documento de identidad para acreditar quiénes somos o qué edad tenemos es una medida que utilizan algunas plataformas digitales, incluido Google. Os explicamos.
La compañía expone en su página de ayuda que esta verificación extra sirve para comprobar que el usuario tiene la edad mínima para operar con el servicio. Dependiendo del país y del continente, se requiere tener entre 14 y 16 años como mínimo para poder crear una cuenta de Google, tal y como refleja la normativa de protección de datos. Normalmente, esto se comprueba solicitando la fecha de nacimiento en el registro. Pero Google, más adelante, puede solicitar esta verificación adicional.
Desde Google únicamente nos indican que esta acción comenzó a implantarse el año pasado, es decir, en 2021. Sobre qué hace la empresa con las imágenes que le enviemos de nuestro DNI no han dado mayores explicaciones, pero en la misma página de Ayuda explican que si “proporcionas una copia de tu documento de identificación oficial” la eliminarán una vez que hayan “validado tu fecha de nacimiento”. Es decir, que según la empresa, no quedará almacenado en sus servidores más tiempo del necesario para realizar la comprobación.
En Maldita.es ya os hemos hablado del problema que supone para las plataformas poder verificar correctamente la identidad o la edad de sus usuarios. Paloma Llaneza, abogada y consultora especializada en derecho de las tecnologías, nos contaba que “cargar un DNI que no se sabe si es falso, modificado o de otra persona que se parece no vale gran cosa”.
En el mismo sentido se pronunciaba Selva Orejón, directora ejecutiva de OnBranding y experta en identidad digital: “Fácilmente se puede pedir el documento a sus padres, hermanos u otros familiares, como cuando se quería entrar en una discoteca se pedía el DNI a un conocido con el que nos pareciéramos”.
Adjuntar una fotocopia del DNI no es el único método que Google ofrece para demostrar la edad. También es posible hacerlo aportando los datos de una tarjeta de crédito, de modo que la compañía compruebe que es válida realizando una operación similar a una compra online (sin que haya un pago de por medio, eso sí). Google recoge en su apartado de preguntas frecuentes que “no se aplicará ningún cargo en tu tarjeta y la autorización desaparecerá pronto”.
Eso sí, sea cual sea el método que se quiera emplear para verificar nuestra edad, la compañía propietaria de servicios como Gmail o YouTube da a los usuarios 14 días para completar esta verificación: en el caso de que no se quiera realizar, pasados estas dos semanas la cuenta se desactivará, para eliminarse por completo pasado un mes.
La compañía no especifica en su página de ayuda, ni tampoco en respuesta a la cuestión preguntada por Maldita.es, cuál es el criterio para elegir los usuarios cuya edad se quiere verificar. Este es el caso de uno de los malditos que nos ha hecho llegar esta pregunta. Google España se limita a afirmar que se trata de una medida “global para asegurar que todas las cuentas cumplen con los requisitos de edad”.
Antes de iros...
No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.
Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:
En este artículo ha colaborado con sus superpoderes el maldito Jorge Louzao, experto en ciberseguridad.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
* Hemos actualizado esta pieza el 22/03/2022 para añadir las declaraciones de nuestro maldito experto en ciberseguridad Jorge Louzao.