Documento informativo sobre seguridad de Microsoft (2607712)

¿Por qué se ha revisado este documento informativo el 6 de septiembre de 2011?  
Microsoft ha revisado este documento informativo para anunciar la publicación de una actualización que corrige este problema. La actualización agrega cinco certificados raíz de DigiNotar al almacén de certificados no confiables de Microsoft. Normalmente, no es necesario realizar ninguna acción por parte de los clientes para instalar esta actualización, ya que la mayoría de los clientes tienen habilitadas las actualizaciones automáticas y esta actualización se descargará e instalará automáticamente. Para los clientes que no tienen habilitadas las actualizaciones automáticas, vea el artículo 2607712 de Microsoft Knowledge Base para obtener información acerca de cómo aplicar manualmente esta actualización.

El 29 de agosto de 2011, Microsoft retiró la confianza de un certificado raíz de DigiNotar mediante la actualización de la CTL de Microsoft. ¿Cuál es el motivo de la publicación de una actualización por parte de Microsoft?  
Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 usan la lista de confianza de certificados de Microsoft para validar la confianza de una entidad de certificación. Windows XP y Windows Server 2003 no usan la lista de confianza de certificados de Microsoft para validar la confianza de una entidad de certificación. Como resultado, se necesita una actualización para todas las ediciones de Windows XP y Windows Server 2003 a fin de proteger a clientes.

Después de la actualización de la CTL el 29 de agosto de 2011, a los usuarios de Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 que tuvieron acceso a un sitio web firmado por un certificado raíz que no es de confianza de DigiNotar se les presentó un mensaje de advertencia en el que se indicaba que la confianza del certificado no se podía comprobar. A los usuarios se les permitió hacer clic en este mensaje de advertencia para tener acceso al sitio.

Para proteger a los clientes de forma más exhaustiva contra posibles ataques del tipo "Man in the middle", Microsoft publica una actualización que adopta medidas adicionales para proteger a los clientes al evitar por completo que los usuarios de Internet Explorer tengan acceso a los recursos de sitios web con certificados firmados por los certificados raíz de DigiNotar no confiables. A los usuarios de Internet Explorer que apliquen esta actualización se les presentará un mensaje de error al intentar tener acceso a un sitio web que se haya firmado por cualquiera de los certificados raíz de DigiNotar anteriores. Estos usuarios no podrán tener acceso al sitio web.

¿Cómo funciona esta actualización?  
En todas las versiones compatibles de Microsoft Windows, la actualización agrega cinco certificados raíz de DigiNotar al almacén de certificados en los que no se confía de Microsoft.

¿Cómo cambiará esta actualización la experiencia de usuario al intentar obtener acceso al sitio web que se haya cifrado con TLS y se haya firmado con un certificado raíz de DigiNotar no confiable?  
A los usuarios de Internet Explorer que intenten tener acceso a un sitio web que haya sido firmado con un certificado raíz de DigiNotar no confiable se les presentará un mensaje de error. Debido al hecho de que este certificado se encuentra en el almacén de certificados no confiables de Microsoft, Internet Explorer no permitirá que los usuarios obtengan acceso al sitio web. El sitio web no estará disponible hasta que el certificado de sitio web se reemplace por un certificado nuevo que esté firmado por un certificado raíz de confianza.

Después de aplicar la actualización, ¿cómo puedo consultar los certificados del almacén de certificados no confiables de Microsoft?  
Para obtener información acerca de cómo consultar los certificados, vea el artículo de MSDN Procedimientos: Ver certificados con el complemento de MMC.

En el Complemento de MMC Certificados, compruebe que se han agregado los siguientes certificados a la carpeta Certificados en los que no se confía:

¿Cuál es el alcance de este documento informativo?  
El propósito de este documento informativo es notificar a los clientes que Microsoft ha confirmado al menos un certificado fraudulento emitido por DigiNotar y que se está usando en ataques activos. Microsoft ha publicado una actualización para todas las versiones compatibles de Microsoft Windows que corrige el problema.

¿Qué es la criptografía?  
La criptografía es la ciencia de proteger la información mediante su conversión entre su estado normal y legible (texto no cifrado) y otro en el que el texto se oculta (texto cifrado).

En todas las formas de criptografía, un valor denominado clave se usa conjuntamente con un procedimiento denominado algoritmo de criptografía para transformar el texto no cifrado en texto cifrado. En el tipo de criptografía más conocido, la criptografía de clave secreta, el texto cifrado se transforma en texto cifrado mediante la misma clave. No obstante, en un segundo tipo de criptografía, la criptografía de clave pública, se usa una clave distinta para transformar el texto cifrado en texto no cifrado.

¿Qué es un certificado digital?  
En la criptografía de clave pública, una de las claves, denominada la clave privada, se debe mantener en secreto. La otra clave, denominada la clave pública, está diseñada para compartirla con los demás usuarios. No obstante, debe existir una forma para que el propietario de la clave comunique a los demás usuarios a quién pertenece la clave. Los certificados digitales ofrecen una forma de realizar esta operación. Un certificado digital es un elemento de datos a prueba de modificaciones que empaqueta una clave pública junto con información acerca de ella: de quién es, para qué se puede usar, cuándo expira, etc.

¿Para qué se usan los certificados?  
Los certificados se usan principalmente para comprobar la identidad de una persona o disponible, autenticar un servicio o cifrar archivos. El usuario normalmente no piensa en los certificados. No obstante, es posible que aparezca un mensaje en el que se indica que un certificado ha expirado o no es válido. En estos casos, se deben seguir las instrucciones del mensaje.

¿Qué es una entidad de certificación?  
Las entidades de certificación son las organizaciones que emiten certificados. Establecen y comprueban la autenticidad de las claves públicas que pertenecen a personas o a otras entidades de certificación, y comprueban la identidad de una persona u organización que solicita un certificado.

¿Qué es una lista de certificados de confianza (CTL)?  
Debe existir confianza entre el destinatario de un mensaje firmado y el firmante del mensaje. Un método de establecer esta confianza es a través de un certificado, un documento electrónico que comprueba que las entidades o las personas son quienes declaran ser. Un tercero, que es de confianza de ambas partes, emite el certificado para una entidad. De este modo, cada destinatario de un mensaje firmado decide si el emisor del certificado del firmante es de confianza. CryptoAPI ha implementado una metodología para permitir que los desarrolladores creen aplicaciones que comprueben automáticamente los certificados con una lista predefinida de certificados o raíces de confianza. Esta lista de entidades de confianza (denominadas sujetos) se conoce como una lista de confianza de certificados (CTL). Para obtener más información, vea el artículo de MSDN Comprobación de la confianza de los certificados.

¿Cuál es la causa del problema?  
Microsoft tiene constancia de ataques activos con al menos un certificado digital fraudulento emitido por DigiNotar, una entidad de certificación que se encuentra en el almacén de entidades de certificación raíz de confianza. Un certificado fraudulento se puede usar para suplantar el contenido, llevar a cabo ataques de suplantación de identidad (phishing) o realizar ataques del tipo "Man in the middle" contra todos los usuarios de explorador web, incluidos los usuarios de Internet Explorer. Aunque no se trata de una vulnerabilidad de un producto de Microsoft, este problema afecta a todas las versiones compatibles de Microsoft Windows.

¿Para qué puede utilizar un atacante esta vulnerabilidad?  
Un atacante podría usar estos certificados para suplantar el contenido, llevar a cabo ataques de suplantación de identidad (phishing) o realizar ataques del tipo "Man in the middle" contra todos los usuarios de explorador web, incluidos los usuarios de Internet Explorer.

¿Qué es el ataque del tipo "Man in the middle"?  
Un ataque del tipo "Man in the middle" se produce cuando un atacante reenruta la comunicación entre dos usuarios a través del equipo del atacante sin que lo sepan los dos usuarios que establecen la comunicación. Cada usuario de la comunicación envía el tráfico al atacante y lo recibe del mismo, sin darse cuenta, todo ello pensando que se está comunicando con el usuario de destino.

¿Cuál es el procedimiento para revocar un certificado?  
Existe un procedimiento estándar que debe permitir a una entidad de certificación impedir que los certificados se acepten si se usan. Cada emisor de certificados genera periódicamente una CRL, que enumera todos los certificados que no se deben considerar válidos. Cada certificado debe ofrecer un elemento de datos denominado punto de distribución de CRL (CDP) que indica la ubicación donde se debe obtener la CRL.

Una forma alternativa para que los exploradores web validen la identidad de un certificado digital a mediante el protocolo de estado de certificados en línea (OCSP). OCSP permite la validación interactiva de un certificado mediante la conexión a un respondedor de OCSP, hospedado por la entidad de certificación que firmó el certificado digital. Cada certificado debe ofrecer un puntero a la ubicación del respondedor de OCSP a través de la extensión de acceso a la información de entidad emisora (AIA) en el certificado. Además, la asociación de OCSP permite que el servidor web proporcione una respuesta de validación de OCSP al cliente.

La validación de OCSP está habilitada de forma predeterminada en Internet Explorer 7 y en las versiones posteriores de Internet Explorer en las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. En estos sistemas operativos, si se produce un error en la comprobación de validación de OCSP, el explorador validará el certificado poniéndose en contacto con la ubicación de CRL.

Para obtener más información acerca de la comprobación de revocación de certificados, vea el artículo de TechNet Revocación de certificados y comprobación de estado.

¿Qué es una lista de revocación de certificados (CRL)?  
CRL es una lista firmada digitalmente, emitida por una entidad de certificación que contiene una lista de los certificados emitidos por ella y que posteriormente ha revocado. Por cada certificado revocado individual, la lista incluye el número de serie del certificado, la fecha en que se revocó el certificado y el motivo de revocación. Las aplicaciones pueden realizar una comprobación de CRL para determinar el estado de revocación de un certificado presentado.

¿Qué es un punto de distribución de CRL (CDP)?  
CDP es una extensión de certificado que indica de dónde se puede recuperar una lista de revocación de certificados de una entidad de certificación. Puede contener una o varias direcciones URL HTTP, de archivo o LDAP, o bien no contener ninguna.

¿Qué es el protocolo de estado de certificados en línea (OCSP)?  
OCSP es un protocolo que permite la validación en tiempo real del estado de un certificado. Normalmente, un respondedor de OCSP responde con el estado de revocación basado en la CRL obtenida de la entidad de certificación.

¿Qué va hacer Microsoft para ayudar a resolver este problema?  
Aunque el problema no se debe a un producto de Microsoft, hemos actualizado la lista de confianza de certificados para quitar la confianza en el certificado raíz de DigiNotar. Microsoft seguirá investigando este problema y puede publicar una actualización futura para proteger a los clientes.

¿Cómo sé si se ha producido un error de certificado no válido?  
Cuando Internet Explorer encuentra un certificado no válido, a los usuarios se les muestra una página web en la que se indica: "Existe un problema con el certificado de seguridad de este sitio web". Cuando aparece este mensaje, a los usuarios se les recomienda que cierren la página web y que salgan del sitio.

A los usuarios solo se les presenta este mensaje cuando se determina que el certificado no es válido, por ejemplo, cuando está habilitada la lista de revocación de certificados (CRL) o la validación de Protocolo de estado de certificados en línea (OCSP). La validación de OCSP está habilitada de forma predeterminada en Internet Explorer 7 y en las versiones posteriores de Internet Explorer en las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

Para las versiones compatibles de Microsoft Windows

La mayoría de los clientes tienen habilitada la actualización automática y no deben realizar ninguna acción porque esta actualización se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas de la actualización automática, vea el artículo 294871 de Microsoft Knowledge Base.

Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualización manualmente, Microsoft recomienda que los clientes apliquen la actualización inmediatamente con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update. Para obtener más información acerca de cómo aplicar la actualización, vea el artículo 2607712 de Microsoft Knowledge Base.

•

Proteger su PC Seguimos recomendando a los clientes que apliquen los consejos de la sección Proteja su PC; a saber: habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. La información completa al respecto puede consultarse en el sitio web Proteja su equipo. Para obtener más información acerca de la seguridad en Internet, visite Central de seguridad de Microsoft.

•

Mantener actualizado el software de Microsoft Los usuarios que ejecutan software de Microsoft deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite Microsoft Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene habilitadas y configuradas las actualizaciones automáticas para los productos de Microsoft, las actualizaciones se entregan cuando se publican, pero debe asegurarse de que están instaladas.

Top of section