MENÚ
MALDITA TECNOLOGÍA

La web de la Agencia Tributaria perderá su certificado SSL en plena campaña de la Renta: qué significa y cómo te afecta

Publicado viernes, 12 febrero 2021
Comparte
Categorías
Ciberseguridad
Recursos utilizados
Material producción propia

En los últimos días nos habéis preguntado por la Declaración de la Renta, un proceso administrativo que cada año cuenta con más herramientas para su cumplimentación online. En concreto, vuestras dudas van enfocadas en un posible veto por parte de Google de la certificación de seguridad de la Agencia Tributaria. Una situación que no permitiría completar dichos trámites de forma segura a través del navegador más usado, el Google Chrome.

Lo primero de todo, ¿qué es un certificado digital? Seguro que has visto en muchas páginas, al lado de la barra donde figura el código de la misma, un candado de distintos colores que te informa sobre la seguridad del sitio por el que estás navegando. Pues bien, esto es lo que se conoce como certificados digitales de seguridad o certificados SSL/TLS.

Para entender más en profundidad estos instrumentos de navegación segura, desde el Instituto Nacional de Ciberseguridad (INCIBE) se remiten a este detallado artículo en el que se explica que los certificados “son la base que ayuda a crear confianza” entre los usuarios de internet.

En concreto, para acceder a estos certificados, los propietarios de un portal de internet acuden a empresas o entidades especializadas en ciberseguridad que, si cumples determinados requisitos, otorgan a tu página un “sello de confianza” visible ante todos los usuarios.

A la izquierda, certificado SSL activo en la web de la Agencia Tributaria. A la derecha, detalles del certificado, emitido por Camerfirma.

Haciendo un rápido click en el candado de cualquier página podemos obtener más información acerca del certificado: quién lo emite y, en algunos casos, la vigencia del mismo. En el caso de la Agencia Tributaria, su certificado SSL está respaldado por Camerfirma, una autoridad de certificación impulsada por las Cámaras de Comercio españolas.

Las dudas surgieron cuando Ryan Sleevi, desarrollador de software del gigante de Silicon Valley, anunció en un grupo de discusión que Chrome 90, la última versión del navegador prevista para mediados de abril, “ya no aceptará” los certificados de Camerfirma.

En vistas de la situación, ¿afectará en algo esta revocación del certificado SSL a la hora de realizar la Declaración de la Renta online? Sobre todo, teniendo en cuenta que el plazo para iniciar el trámite comienza el 7 de abril.

Desde Camerfirma confirman a Maldita Tecnología que no habrá problemas para completar estos trámites. En concreto, subrayan que lo que estará vetado es la autentificación SSL del servidor y no los intercambios de información que se den entre los ciudadanos y la Administración pública.

“Como respuesta a algunas noticias publicadas durante los últimos días, Camerfirma aclara que sus certificados de autenticación de cliente son y seguirán siendo válidos y aceptados en todos los navegadores (Google Chrome, Mozilla, Microsoft…, entre otros). Por lo tanto, los certificados de Camerfirma tendrán asegurados sus usos actuales de autenticación ante las Administraciones Públicas para seguir realizando los trámites habituales con las mismas, así como los usos de firma digital en el ámbito privado y en el ámbito de las Administraciones Públicas”, subraya la firma ante las preguntas de este medio.

Dicho en otras palabras, la decisión de los desarrolladores de Chrome afectará a la verificación de los servidores (es posible que el candado ya no aparezca junto al código HTML de la página) y no a los distintos trámites (firma digital y autenticación de cliente) que los ciudadanos podrán realizar desde sus casas a partir de la primera semana de abril.

Chrome avisará de que el sitio "no es seguro"

¿La conexión, por tanto, será menos segura? Aunque los trámites con la Administración se puedan seguir realizando sin problemas, los ciudadanos estarán navegando por un portal con su certificado SSL/TLS caducado. Google ya ha anunciado que los usuarios de Chrome encontrarán un aviso alertando de que el sitio “no es seguro”.

Tal y como refleja la Oficina de Seguridad del Internauta: “Un certificado SSL/TLS expirado genera un mensaje de advertencia en la ventana del navegador. No quiere decir directamente que la navegación sea insegura, pero con esto, el objetivo de transmitir confianza y seguridad al usuario se pierde completamente. Unido al riesgo del caso anterior, una web sin certificado SSL es más vulnerable a ataques informáticos. Al no estar la información encriptada, el cifrado de la web no es seguro y un atacante puede beneficiarse de esta brecha de seguridad”.

En caso de querer recuperar el certificado, Camerfirma deberá revisar su protocolo de seguridad para asegurar el cifrado de la web y ofrecer de nuevo garantías a los desarrolladores de los navegadores. También existe la opción de que desde la Agencia Tributaria decidan cambiar de empresa proveedora del certificado.