Es noticia
Google vetará el certificado de la web de Hacienda: ¿problemas para hacer la Renta 'online'?
  1. Tecnología
A PARTIR DE ABRIL

Google vetará el certificado de la web de Hacienda: ¿problemas para hacer la Renta 'online'?

La próxima versión de Chrome incluye en una lista negra los certificados de Camerfirma, con los que trabajan las webs de Hacienda o EducaMadrid, entre muchas otras en España

Foto: Foto: Reuters.
Foto: Reuters.

Los navegadores de internet andan actualizándose cada dos por tres. A veces son grandes cambios visibles en el diseño o nuevas funcionalidades para facilitar tareas de nuestro día a día. Otras veces son pequeños cambios de fontanería invisibles para nuestros ojos, que tienen la intención de resolver algún error puntual o mejorar la seguridad que, sin embargo, pueden tener grandes efectos secundarios. Es el caso de Chrome 90, una versión del navegador que se espera que Googlehaga pública en abril, que bloqueará las páginas webs que utilicen determinados certificados de Camerfirma, una empresa española que tiene una amplia implementación en diferentes administraciones públicas de todo tipo, entre ellas la Agencia Tributaria.

Lo que queda vetados, indican desde ambas compañías, son los conocidos como SSL/TSL (instalados en los servidores de las diferentes webs), por lo que los certificados que utilizan los ciudadanos para identificarse ante la administración no estarán afectados.

Foto: (Foto: Reuters)

"Después de una consideración completa de la información disponible, y con el fin de proteger y salvaguardar a los usuarios de Chrome, los certificados emitidos por AC Camerfirma (los SSL/TSL) ya no serán aceptados en Chrome, comenzando con Chrome 90", anunciaba Ryan Sleevi, desarrollador de software de la compañía, tal y como recogían en Banda Ancha EU. Esta página se hacía eco de una discusión en un grupo de trabajo que tiene la Fundación Mozilla en la plataforma 'Google Groups', donde participan trabajadores de las diferentes entidades que conforman dicha asociación, donde se perfilan algunos cambios de seguridad que afectan a los motores de búsqueda. "Aquellos que intenten acceder a un sitio web que utilice ese certificado encontrarán un mensaje que indica que el certificado ha sido revocado y que no se considera seguro", continuaba Sleeve. "Usuarios y administradores de la empresa no podrán omitir ni anular esta advertencia".

En ese mismo hilo se anunciaba que los administradores de las diferentes webs podrán comprobar cómo les afecta con una beta que se publicará en la primera quincena de marzo y que los usuarios no experimentarán problemas hasta que se publique la versión estable, aproximadamente el 13 de abril.

Este mensaje se publicó el pasado 25 de enero. Era el colofón a una larga discusión de varias semanas, en las que Ramiro Muñoz, CTO de la compañía, defendió ante los diferentes integrantes del grupo que la compañía había tomado nota de las incidencias y había puesto en marcha un ambicioso plan con una serie de medidas para cumplir los estándares de calidad de Mozilla. Sus explicaciones sin embargo no han convencido a Sleeve y otros de los participantes como se puede comprobar en este enlace (para consultarlo hay que acceder sin haber iniciado en tu cuenta de Google).

Preguntados por el asunto, desde Google confirman a este periódico el sentido de la decisión y explican que ya se han puesto en contacto con Camerfirma para trasladárselo de forma oficial. “La decisión de dejar de reconocer los certificados de una Autoridad de Certificación no es algo que nos tomamos a la ligera. Las Autoridades de Certificación desempeñan un papel clave en la protección de los usuarios de Chrome y debemos mantener los certificados que Chrome reconoce con los más altos estándares de seguridad que se esperan y necesitan", explican desde Mountain View.

"Como hemos compartido directamente con Camerfirma, además de haberlo discutido públicamente, creemos que su historial de problemas graves y recurrentes de seguridad, indica que no han cumplido con estos estándares", afirman, a la par que explican que han puesto en marcha una hoja de ruta para minimizar el impacto de la decisión. Desde Camerfirma indican que el impacto de los problemas serán muy limitados, ya el veto solo será efectivo en Chrome 90 y los certificados que utilizan los ciudadanos no se ven afectados. Además, explican, que ya trabajan en planes de adaptación con sus clientes,

¿También Firefox?

"Esto, si no se soluciona antes, va a afectar a cualquier usuario", explica Sergio Carrasco, abogado experto en nuevas tecnologías e ingeniero de telecomunicaciones. "Y no solo de Chrome. Hay que tener en cuenta que la decisión se ha tomado en el seno de la fundación Mozilla, en un grupo de seguridad común que atañe tanto a los desarrolladores de Google como de Firefox, así que es esperable que Firefox haga lo mismo dentro de poco tiempo", añade este experto, que destaca que la firma española acumulaba una serie de "vulnerabilidades y eventos" que le han sido advertidos hace tiempo y no han solucionado en su totalidad.

placeholder Captura del mensaje del desarrollador de Google anunciando la decisión.
Captura del mensaje del desarrollador de Google anunciando la decisión.

No hay que olvidar que Chrome a mediados de 2020 superó, por primera vez en el mundo, una cuota del 70% de mercado, lo que le convierte en el explorador más utilizado y extenso del planeta, según NetMarketShare. En el caso de Firefox, aunque varía dependiendo la fuente que se consulte, se calcula que maneja en torno a un 10%. Es decir, que en caso de que el navegador de Mozilla también se una a Google, el público potencial que puede verse afectado por este problema es notable si actualizan a la última versión.

Camerfirma es lo que se denomina una Autoridad de Certificación que opera y está reconocida bajo el reglamento del sistema europeo de reconocimiento de identificación electrónica también conocida por las siglas eIDA, que rige los prestadores cualificados en el mercado común. La empresa también está incluida en el listado de prestadores de confianza del Gobiern​o, elaborada en 2016 por el que entonces era el Ministerio de Energía, Turismo y Agenda Digital. Fue creada por las cámaras de comercio de España en el año 2000, algo que explica lo amplío de su implementación a nivel estatal. En el año 2018, sin embargo, el 51% de su propiedad pasó a manos de Inforcert, un grupo perteneciente al conglomerado Tinexta, una cotizada de la Bolsa de Milán.

Los certificados

Este proveedor emite multitud de certificados, entre ellos los conocidos como SSL/TSL. Estos, que se identifican gracias al https de la URL o el candado, son los que concretamente serán bloqueados por Chrome 90. Hay que instalarlos en un servidor web con dos fines principalmente: que el sitio no es falso y que la información está cifrada. No tienen que ver con los certificados digitales que utilizan los usuarios para identificarse en diferentes trámites.

placeholder El candado indica que la web es segura. (Pixabay)
El candado indica que la web es segura. (Pixabay)

"Los certificados digitales están diseñados para decir que la conexión es segura, que el sitio que estás visitando es realmente el que indica que es", explica Samuel Parra, abogado especialista en nuevas tecnologías. Cualquier individuo, empresa o institución que tenga una página en la que se solicite, procese, almacene o muestre información confidencial está obligado a tenerlo. "Están sometidas a una fuerte supervisión. Al tratarse de una tecnología que sostiene la confianza tienen que cumplir muchos requisitos, tanto por parte de las instituciones y organismos que los validan. Pero también por parte de las empresas privadas".

En España esta empresa certifica, por ejemplo, a la Agencia Tributaria, que si no cambia de proveedor, podría experimentar problemas en plena campaña de la Renta 2020, que empieza el 7 de abril, solo una semana antes de que se lancen la nueva versión de este navegador. Pero muchas otras instituciones hacen uso de ella. Desde EducaMadrid, la plataforma educativa de la Comunidad de Madrid, hasta la página web del plan de vacunación contra el covid del Gobierno de España así como las del Ministerio de Justicia o las de ayuntamientos de diferentes partes de la geografía patria. A esto hay que sumarle todas las compañías de todos los tamaños que también funcionen con este proveedor.

"Si hay agujeros de seguridad lo que se pone en peligro es la comunicación segura con el servidor. Los problemas no atañen a la firma electrónica, que eso se hace con otro certificado digital distinto que debe obtener el ciudadano o el usuario", explica Carrasco.

La Agencia Tributaria ya tiene conocimiento del asunto y valora alternativas

Fuentes conocedoras de la situación aseguran que desde Hacienda ya se han puesto en contacto este proveedor para "valorar el alcance de la decisión" y evitar que ello afecte a los contribuyentes que utilizan los servicios de sede electrónica. Al parecer, indican estas voces, la decisión de Google no está relacionada directamente con ningún incidente de seguridad "que hayan experimentado" los que utilizan dichos certificados. Aun así, la Agencia, en previsión al bloqueo de Google, está valorando alternativas para implementarlas en caso de que fuese necesario.

También está el apaño, señalan otras fuentes, de recomendar utilizar otro navegador que no haya bloqueado estos certificados o recomendar el uso de una versión antigua del navegador, algo que rechazan los expertos en esta materia.

Una solución fácil (si se planifica)

placeholder Foto: Efe.
Foto: Efe.

La parte más importante de este negocio es de dónde vienen estos certificados y la confianza que generan sus emisores. No solo para las autoridades o los clientes que lo solicitan, sino también de las empresas que han creado los navegadores "Hay que pensar que lo que te indica es que no hay ningún atacante en el medio, que nadie va a poder acceder a la información que estás recibiendo o enviando", dice Parra. "El control por parte de Google es completamente lógico. Aunque cumplas con los requisitos de las autoridades, puede ser que ellos, que son las ventanas para que la gente navegue, detecten posibles riesgos y tomen medidas para proteger a su comunidad".

Los expertos indican que si está planificado el cambio de certificado no es complicado

¿La solución? "El proceso de cambiar de proveedor no es un trabajo complejo, ni en términos de tiempo ni en inversión, al menos en lo que se refiere de cara al público", aclara Carrasco. "El contratiempo puede venir al no estar del todo planificado, como ocurrió cuando se eliminó la máquina virtual de Java de los navegadores, que lo que se recomendaba era hacer uso de un navegador antiguo", explica.

El problema de esto es que en muchos entornos empresariales esa solución es inviable. "Estamos poniéndonos en la piel de un particular desde su casa, pero esto afecta a muchos más ámbitos. Las políticas de seguridad de muchas compañías no te van a permitir no actualizarlo". Sergio Carrasco añade que hay múltiples Autoridades de Certificación a los que se puede recurrir, incluso de "titularidad pública" como son la Fábrica de Moneda y Timbre, que ya expide otros tipos de certificados para que los ciudadanos se identifiquen en sus trámites online. "En su día se descartó porque no tenía el certificado raíz en el repositorio por defecto. Pero eso está solucionado".

Los navegadores de internet andan actualizándose cada dos por tres. A veces son grandes cambios visibles en el diseño o nuevas funcionalidades para facilitar tareas de nuestro día a día. Otras veces son pequeños cambios de fontanería invisibles para nuestros ojos, que tienen la intención de resolver algún error puntual o mejorar la seguridad que, sin embargo, pueden tener grandes efectos secundarios. Es el caso de Chrome 90, una versión del navegador que se espera que Googlehaga pública en abril, que bloqueará las páginas webs que utilicen determinados certificados de Camerfirma, una empresa española que tiene una amplia implementación en diferentes administraciones públicas de todo tipo, entre ellas la Agencia Tributaria.