El 30 de diciembre de 2008 se supo que investigadores independientes de seguridad en California, Estados Unidos, e investigadores del Centrum Wiskunde & Informatica y la Universidad de Eindhoven de los Países Bajos, y la École Polytechnique Fédérale de Suiza habían encontrado una gravísima debilidad en la infraestructura de certificados digitales que se usan en la Web. Arrancando en julio de 2008, el equipo de investigadores usó un conjunto de 200 consolas de videojuegos PlayStation 3 para producir certificados digitales falsos en aproximadamente un día. El enorme poder de esta clase de consolas es muy usado para tareas que requieren una gran capacidad de cómputo.
Hoy por la tarde, la entidad de coordinación en emergencias teleinformáticas del Estado argentino, el ArCERT , envió un informe sobre la situación, conocida como Colisiones en MD5 y Falsificación de Certificados X.509.
Calificado como de impacto altamente crítico por el ArCERT, la debilidad afecta a todos los navegadores Web, ya que estos usan X.509 para validar la identidad cuando se confía en una autoridad que emite sus certificados utilizando MD5.
MD5 es una función de encriptación muy difundida para validar certificados, paquetes de software, contraseñas y otros, mientras que X.509 es un estándar en infraestructuras de clave pública. Dicho sin tantos tecnicismos, se trata de una muy grave vulnerabilidad que afecta tanto a la Web como a la validación de usuarios en Linux y otros clones de Unix, así como la autenticación de paquetes de software. La situación puede dar lugar a ataques de suplantación de sitios por otros falsos y malintencionados.
Según el ArCERT, los certificados emitidos antes del 30 de diciembre, cuando se hizo público el estudio, no están en riesgo. Sin embargo, los autores de la investigación opinan que un equipo de hackers altamente especializado podría replicar sus resultados en el curso de un mes. Con todo y la grave situación que supone el resultado del experimento, la creación de certificados digitales falsos es una tarea que requiere un conocimiento avanzado de criptografía.
La primera debilidad de MD5 se conoció en 2004 y el experimento de 2008 es una aplicación de este principio. Según informa el ArCERT, en los nuevos navegadores, como el Internet Explorer 7 y el Firefox 3 , la barra de direcciones se pone de color verde al entrar en un sitio cuyos certificados digitales han sido validados por métodos más seguros que MD5, que deberá ser discontinuado.
