Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified

Documento informativo sobre seguridad de Microsoft (2524375)

Los certificados digitales fraudulentos podrían permitir la suplantación de identidad

Publicado: 23 de marzo de 2011 | Actualizado: 10 de mayo de 2011

Versión: 4.0

Información general

Resumen ejecutivo

Microsoft tiene constancia de nueve certificados digitales fraudulentos emitidos por Comodo, una entidad de certificación que se encuentra en el almacén de entidades de certificación raíz de confianza en todas las versiones compatibles de Microsoft Windows y los dispositivos Windows Mobile 6.x, Windows Phone 7, Microsoft Kin y Zune. El 16 de marzo de 2011 Comodo comunicó a Microsoft que se habían firmado nueve certificados en nombre de un tercero sin validar suficientemente su identidad. Estos certificados se pueden usar para suplantar el contenido, llevar a cabo ataques de suplantación de identidad (phishing) o realizar ataques del tipo "Man in the middle" contra todos los usuarios de explorador web, incluidos los usuarios de Internet Explorer.

Estos certificados afectan a las propiedades web siguientes:

login.live.com

mail.google.com

www.google.com

login.yahoo.com (3 certificados)

login.skype.com

addons.mozilla.org

"Global Trustee"

Comodo ha revocado estos certificados y se enumeran en la lista de revocación de certificados (CRL) actual de Comodo. Además, los exploradores que han habilitado el Protocolo de estado de certificados en línea (OCSP) validarán de forma interactiva estos certificados e impedirán su uso.

Hay disponible una actualización para contribuir a corregir este problema para todas las versiones compatibles de Windows y dispositivos Windows Mobile 6.x. A partir del 3 de mayo de 2011, la actualización también se empieza a enviar a los clientes de Windows Phone 7. Para obtener más información acerca de esta actualización, consulte el artículo 2524375 de Microsoft Knowledge Base.

Para las versiones compatibles de Microsoft, normalmente no es necesario realizar ninguna acción por parte de los clientes para instalar esta actualización, ya que la mayoría de los clientes tienen habilitadas las actualizaciones automáticas y esta actualización se descargará e instalará automáticamente. Para obtener más información, incluido el modo de instalar manualmente esta actualización y cómo instalar la actualización en los dispositivos Windows Mobile 6.x y Windows Phone 7, vea la sección Acciones recomendadas de este documento informativo.

Detalles del documento informativo

Referencias del problema

Para obtener más información acerca de este problema, consulte las siguientes referencias:

ReferenciasIdentificación

Artículo de Microsoft Knowledge Base

2524375

Software y dispositivos afectados

Este documento informativo trata el software y los dispositivos siguientes.

Software afectado

Windows XP Service Pack 3

Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 con SP2 para sistemas con Itanium

Windows Vista Service Pack 1 y Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 1 y Windows Vista x64 Edition Service Pack 2

Windows Server 2008 para sistemas de 32 bits y Windows Server 2008 para sistemas de 32 bits Service Pack 2*

Windows Server 2008 para sistemas x64 y Windows Server 2008 para sistemas x64 Service Pack 2*

Windows Server 2008 para sistemas con Itanium y Windows Server 2008 para sistemas con Itanium Service Pack 2

Windows 7 para sistemas de 32 bits y Windows 7 para sistemas de 32 bits Service Pack 1

Windows 7 para sistemas x64 y Windows 7 para sistemas x64 Service Pack 1

Windows Server 2008 R2 para sistemas x64 y Windows Server 2008 R2 para sistemas x64 Service Pack 1*

Windows Server 2008 R2 para sistemas con Itanium y Windows Server 2008 R2 para sistemas con Itanium Service Pack 1

Dispositivos afectados

Windows Mobile 6.x

Windows Phone 7

Microsoft Kin

Zune 4 GB, Zune 8 GB, Zune 16 GB, Zune 30 GB, Zune 80 GB y Zune 120 GB

Zune HD 16 GB, Zune HD 32 GB y Zune HD 64 GB

*La instalación de Server Core está afectada. Esta actualización se aplica, con la misma clasificación de gravedad, a las ediciones compatibles de Windows Server 2008 o Windows Server 2008 R2 tal como se indica, independientemente de si se ha instalado con la opción de instalación Server Core. Para obtener más información acerca de esta opción de instalación, vea los artículos de TechNet Administración de una instalación Server Core y Mantenimiento de una instalación Server Core. Tenga en cuenta que la opción de instalación Server Core no se aplica a determinadas ediciones de Windows Server 2008 y Windows Server 2008 R2; vea Comparar opciones de instalación de Server Core.

Preguntas frecuentes

¿Por qué se ha revisado este documento informativo el 10 de mayo de 2011?  
Microsoft ha revisado este documento informativo para anunciar la publicación de una actualización para dispositivos Windows Mobile 6.x. La actualización está disponible para descargarse del Centro de descarga de Microsoft. Para obtener más información, vea el artículo 2524375 de Microsoft Knowledge Base.

Las actualizaciones para los dispositivos Microsoft Kin y Zune no están disponibles en este momento. Microsoft publicará actualizaciones para estos dispositivos cuando finalicen las pruebas con el fin de garantizar un elevado nivel de calidad de su publicación.

¿Por qué se ha revisado este documento informativo el 3 de mayo de 2011?  
Microsoft ha revisado este documento informativo para anunciar la publicación de una actualización para dispositivos Windows Phone 7. En el momento de la publicación, la actualización no está disponible para todos los clientes de Windows Phone 7, en su lugar, los clientes recibirán una notificación en el dispositivo una vez que la actualización esté disponible para su teléfono. Para obtener más información o para instalar la actualización, los clientes de Windows Phone 7 deberán conectar su teléfono a un equipo y usar el cliente Zune PC o Windows Phone 7 Connector (para Mac) a fin de realizar el proceso de actualización. Para obtener más información, vea el artículo 2524375 de Microsoft Knowledge Base.

Las actualizaciones para los dispositivos Windows Mobile 6.x, Microsoft Kin y Zune no están disponibles en estos momentos. Microsoft publicará actualizaciones para estos dispositivos cuando finalicen las pruebas con el fin de garantizar un elevado nivel de calidad de su publicación.

¿Por qué se ha revisado este documento informativo el 19 de abril de 2011?  
Microsoft ha revisado este documento informativo para agregar los dispositivos Windows Mobile 6.x, Windows Phone 7, Microsoft Kin y Zune al software y dispositivos afectados. Microsoft tiene constancia de que el almacén local de certificados que no son de confianza en estos dispositivos se debe actualizar para incluir los nueve certificados digitales fraudulentos.

Las actualizaciones para los dispositivos Windows Mobile 6.x, Windows Phone 7, Microsoft Kin y Zune no están disponibles en estos momentos. Microsoft publicará actualizaciones para estos dispositivos cuando finalicen las pruebas con el fin de garantizar un elevado nivel de calidad de su publicación.

¿Qué es la criptografía?  
La criptografía es la ciencia de proteger la información mediante su conversión entre su estado normal y legible (texto no cifrado) y otro en el que el texto se oculta (texto cifrado).

En todas las formas de criptografía, un valor denominado clave se usa conjuntamente con un procedimiento denominado algoritmo de criptografía para transformar el texto no cifrado en texto cifrado. En el tipo de criptografía más conocido, la criptografía de clave secreta, el texto cifrado se transforma en texto cifrado mediante la misma clave. No obstante, en un segundo tipo de criptografía, la criptografía de clave pública, se usa una clave distinta para transformar el texto cifrado en texto no cifrado.

¿Qué es un certificado digital?  
En la criptografía de clave pública, una de las claves, denominada la clave privada, se debe mantener en secreto. La otra clave, denominada la clave pública, está diseñada para compartirla con los demás usuarios. No obstante, debe existir una forma para que el propietario de la clave comunique a los demás usuarios a quién pertenece la clave. Los certificados digitales ofrecen una forma de realizar esta operación. Un certificado digital es un elemento de datos a prueba de modificaciones que empaqueta una clave pública junto con información acerca de ella: de quién es, para qué se puede usar, cuándo expira, etc.

¿Para qué se usan los certificados?  
Los certificados se usan principalmente para comprobar la identidad de una persona o disponible, autenticar un servicio o cifrar archivos. El usuario normalmente no piensa en los certificados. No obstante, es posible que aparezca un mensaje en el que se indica que un certificado ha expirado o no es válido. En estos casos, se deben seguir las instrucciones del mensaje.

¿Qué es una entidad de certificación?  
Las entidades de certificación son las organizaciones que emiten certificados. Establecen y comprueban la autenticidad de las claves públicas que pertenecen a personas o a otras entidades de certificación, y comprueban la identidad de una persona u organización que solicita un certificado.

¿Cuál es la causa del problema?  
Comodo, una entidad de certificación importante, ha informado a Microsoft de que varios certificados digitales se han emitido sin la validación suficiente de su identidad. Estos certificados se podrían usar para suplantar la identidad de los servicios, con lo que se engañaría a los usuarios para que confiaran en ellos.

Nota Comodo ha revocado estos certificados y se enumeran en la lista de revocación de certificados (CRL) actual de Comodo.

¿Para qué puede utilizar un atacante esta vulnerabilidad?  
Un atacante podría usar estos certificados para suplantar el contenido, llevar a cabo ataques de suplantación de identidad (phishing) o realizar ataques del tipo "Man in the middle" contra todos los usuarios de explorador web, incluidos los usuarios de Internet Explorer.

¿Qué es el ataque del tipo "Man in the middle"?  
Un ataque del tipo "Man in the middle" se produce cuando un atacante reenruta la comunicación entre dos usuarios a través del equipo del atacante sin que lo sepan los dos usuarios que establecen la comunicación. Cada usuario de la comunicación envía el tráfico al atacante y lo recibe del mismo, sin darse cuenta, todo ello pensando que se está comunicando con el usuario de destino.

¿Cuál es el procedimiento para revocar un certificado?  
Existe un procedimiento estándar que debe permitir a Comodo impedir que estos certificados se acepten si se usan- Cada emisor de certificados genera periódicamente una CRL, que enumera todos los certificados que no se deben considerar válidos. Cada certificado debe ofrecer un elemento de datos denominado punto de distribución de CRL (CDP) que indica la ubicación donde se debe obtener la CRL.

Una forma alternativa para que los exploradores web validen la identidad de un certificado digital a mediante el protocolo de estado de certificados en línea (OCSP). OCSP permite la validación interactiva de un certificado mediante la conexión a un respondedor de OCSP, hospedado por la entidad de certificación que firmó el certificado digital. Cada certificado debe ofrecer un puntero a la ubicación del respondedor de OCSP a través de la extensión de acceso a la información de entidad emisora (AIA) en el certificado. Además, la asociación de OCSP permite que el servidor web proporcione una respuesta de validación de OCSP al cliente.

La validación de OCSP está habilitada de forma predeterminada en Internet Explorer 7 y en las versiones posteriores de Internet Explorer en las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. En estos sistemas operativos, si se produce un error en la comprobación de validación de OCSP, el explorador validará el certificado poniéndose en contacto con la ubicación de CRL.

Para obtener más información acerca de la comprobación de revocación de certificados, vea el artículo de TechNet Revocación de certificados y comprobación de estado.

¿Qué es una lista de revocación de certificados (CRL)?  
CRL es una lista firmada digitalmente, emitida por una entidad de certificación que contiene una lista de los certificados emitidos por ella y que posteriormente ha revocado. Por cada certificado revocado individual, la lista incluye el número de serie del certificado, la fecha en que se revocó el certificado y el motivo de revocación. Las aplicaciones pueden realizar una comprobación de CRL para determinar el estado de revocación de un certificado presentado.

¿Qué es un punto de distribución de CRL (CDP)?  
CDP es una extensión de certificado que indica de dónde se puede recuperar una lista de revocación de certificados de una entidad de certificación. Puede contener una o varias direcciones URL HTTP, de archivo o LDAP, o bien no contener ninguna.

¿Qué es el protocolo de estado de certificados en línea (OCSP)?  
OCSP es un protocolo que permite la validación en tiempo real del estado de un certificado. Normalmente, un respondedor de OCSP responde con el estado de revocación basado en la CRL obtenida de la entidad de certificación.

¿Qué va hacer Microsoft para ayudar a resolver este problema?  
Aunque el problema no se debe a un producto de Microsoft, hemos desarrollado una actualización que ayudará a proteger a los clientes al garantizar que estos nueve certificados fraudulentos siempre se tratan como si no fueran de confianza.

Si no hay ningún problema en el software de Microsoft, ¿por qué Microsoft publica una actualización?  
Aunque la validación CRL y OCSP estén habilitadas, las técnicas de validación no son lo suficientemente robustas para garantizar que los usuarios están protegidos contra el uso malintencionado de estos certificados. Cuando se puede tener acceso a la ubicación de CRL y al respondedor de OCSP, las comprobaciones de validación son muy confiables y eficaces.

No obstante, cuando no se pueden realizar las comprobaciones de revocación de certificados debido a problemas de red y de conectividad, los exploradores y otras aplicaciones cliente, incluido Internet Explorer, pueden ignorar estos errores y considerar que el certificado es de confianza debido a la ausencia de pruebas en su contra. En estas situaciones, los clientes pueden seguir estando afectados.

¿Cómo funciona esta actualización? 
La actualización para las versiones compatibles de Microsoft Windows corrige el problema al colocar los nueve certificados fraudulentos en el almacén local de certificados que no son de confianza de Microsoft Windows. Las actualizaciones para los dispositivos Windows Mobile 6.x y Windows Phone 7 corrigen el problema al colocar nueve certificados fraudulentos en el almacén local de certificados que no son de confianza en el dispositivo. Las actualizaciones para los dispositivos Microsoft Kin y Zune no están disponibles en este momento.

¿Cómo sé si se ha producido un error de certificado no válido?  
Cuando Internet Explorer encuentra un certificado no válido, a los usuarios se les muestra una página web en la que se indica: "Existe un problema con el certificado de seguridad de este sitio web". Cuando aparece este mensaje, a los usuarios se les recomienda que cierren la página web y que salgan del sitio.

A los usuarios solo se les presenta este mensaje cuando se determina que el certificado no es válido, por ejemplo, cuando está habilitada la lista de revocación de certificados (CRL) o la validación de Protocolo de estado de certificados en línea (OCSP). La validación de OCSP está habilitada de forma predeterminada en Internet Explorer 7 y en las versiones posteriores de Internet Explorer en las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

Después de aplicar la actualización, ¿cómo puedo consultar los certificados de la carpeta Certificados en los que no se confía?  
Para obtener información acerca de cómo consultar los certificados, vea el artículo de MSDN Procedimientos: Ver certificados con el complemento de MMC.

En el Complemento de MMC Certificados, compruebe que se han agregado los siguientes certificados a la carpeta Certificados en los que no se confía:

CertificadoPublicado porNúmero de serie

addons.mozilla.org

UTN-USERFirst-Hardware

00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43

“Global Trustee”

UTN-USERFirst-Hardware

00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0

login.live.com

UTN-USERFirst-Hardware

00 b0 b7 13 3e d0 96 f9 b5 6f ae 91 c8 74 bd 3a c0

login.skype.com

UTN-USERFirst-Hardware

00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47

login.yahoo.com

UTN-USERFirst-Hardware

00 d7 55 8f da f5 f1 10 5b b2 13 28 2b 70 77 29 a3

login.yahoo.com

UTN-USERFirst-Hardware

39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29

login.yahoo.com

UTN-USERFirst-Hardware

3e 75 ce d4 6b 69 30 21 21 88 30 ae 86 a8 2a 71

mail.google.com

UTN-USERFirst-Hardware

04 7e cb e9 fc a5 5f 7b d0 9e ae 36 e1 0c ae 1e

www.google.com

UTN-USERFirst-Hardware

00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06

Acciones recomendadas

Instalar la actualización

Hay disponible una actualización para contribuir a corregir este problema.

Para las versiones compatibles de Microsoft Windows

La mayoría de los clientes tienen habilitada la actualización automática y no deben realizar ninguna acción porque esta actualización se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas de la actualización automática, vea el artículo 294871 de Microsoft Knowledge Base.

Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualización manualmente, Microsoft recomienda que los clientes apliquen la actualización inmediatamente con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update.

La actualización también está disponible en el Centro de descarga de Microsoft; vea en el artículo 2524375 de Microsoft Knowledge Base los vínculos de descarga.

Para los dispositivos Windows Phone 7

En el momento de la publicación, la actualización no está disponible para todos los clientes de Windows Phone 7, en su lugar, los clientes recibirán una notificación en el dispositivo una vez que la actualización esté disponible para su teléfono. Para obtener más información o para instalar la actualización, los clientes de Windows Phone 7 deberán conectar su teléfono a un equipo y usar el cliente Zune PC o Windows Phone 7 Connector (para Mac) a fin de realizar el proceso de actualización. Para obtener más información acerca de la actualización, vea el artículo 2524375 de Microsoft Knowledge Base.

Para actualizar el cliente Zune PC, los clientes pueden configurar las actualizaciones automáticas para buscar actualizaciones en línea de Microsoft Update mediante el servicio Microsoft Update. Los clientes que tienen habilitadas las actualizaciones automáticas y configuradas para buscar en línea actualizaciones de Microsoft Update normalmente no tienen que realizar ninguna acción para actualizar su software de Zune porque esta actualización de seguridad se descargará e instalará automáticamente.

Para dispositivos Windows Mobile 6.x

La actualización está disponible para descargarse del Centro de descarga de Microsoft. Para obtener más información acerca de la actualización y los vínculos de descarga, vea el artículo 2524375 de Microsoft Knowledge Base.

Acciones adicionales recomendadas

Consultar el artículo de Microsoft Knowledge Base asociado a este documento informativo

Para obtener más información acerca de este problema, vea el artículo 2524375 de Microsoft Knowledge Base.

Proteger su PC

Seguimos recomendando a los clientes que apliquen los consejos de la sección Proteja su PC; a saber: habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. La información completa al respecto puede consultarse en el sitio web Proteja su equipo.

Para obtener más información acerca de la seguridad en Internet, visite Central de seguridad de Microsoft.

Mantener actualizado el software de Microsoft

Los usuarios que ejecutan software de Microsoft deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite Microsoft Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene habilitadas y configuradas las actualizaciones automáticas para los productos de Microsoft, las actualizaciones se entregan cuando se publican, pero debe asegurarse de que están instaladas.

Información adicional:

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, visite los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).

Comentarios

Puede proporcionar comentarios si rellena el formulario de Ayuda y soporte técnico de Microsoft de contacto con el departamento de atención al cliente.

Soporte técnico

Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico del departamento de soporte técnico de seguridad. Para obtener más información acerca de las opciones de asistencia disponibles, visite Ayuda y soporte técnico de Microsoft.

Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite Soporte técnico internacional.

Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Renuncia

La información proporcionada en este documento informativo se suministra "tal cual", sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

V1.0 (23 de marzo de 2011): Publicación del documento informativo.

V2.0 (19 de abril de 2011): Se han agregado los dispositivos Windows Mobile 6.x, Windows Phone 7, Microsoft Kin y Zune al software y dispositivos afectados.

V3.0 (3 de mayo de 2011): Se ha anunciado la publicación de una actualización para dispositivos Windows Phone 7. La actualización no estará disponible para todos los clientes en el momento de su publicación; consulte las preguntas más frecuentes del documento informativo para obtener más información.

V4.0 (10 de mayo de 2011): Se ha anunciado la publicación de una actualización para dispositivos Windows Mobile 6.x.



©2017 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft