El gobierno de Kazajstan inspeccionará todo el tráfico HTTPS del país

Como lo lees, aunque suena chocante. El gobierno de este país de difícil pronunciación (y ex-república soviética) ha decidido unilateralmente comenzar a espiar las comunicaciones de los ciudadanos del país abiertamente, aunque se trate de tráfico HTTPS.

A pesar de tratarse de tráfico teóricamente no vulnerable a espias, lo que hará el gobierno es forzar a todo el mundo a instalar un certificado que le conceda permiso para escuchar los paquetes enviados y recibidos.

Kazajstan espiará el tráfico HTTPS de sus ciudadanos

Se va a forzar a los ISP o proveedores de servicios a que obliguen -a su vez- a sus clientes a instalar certificados raíz del gobierno en sus aparatos, condición sine qua non disfrutarán de internet en sus hogares u oficinas. Es lo que llaman el national security certificate.

El hecho de instalar un certificado raiz del gobierno kazajo, permite a las autoridades generar un certificado digital válido para cualquier dominio que quieran interceptar, incluso si emplea protocolo de internet seguro HTTPS.

Algunos operadores en la zona, como Tele2, ya han comenzado a redirigir a los usuarios a la web con instrucciones para instalarlo.

Estos certificados son lanzados en cumplimiento de la «Ley de Comunicaciones de 2004» aprobada en 2015, concretamente en la clausula 11 del artículo 26 «Reglas de emisión y apliciación de un Certificado de Seguridad».

En cumplimiento de la Ley de Comunicaciones de la República de Kazajstan, artículo 26 y clausula 11 de las Reglas para Emisión y Aplicación de un certificado de seguridad, los operadores de comunicaciones se asgurarán de la distribución de un certificado de seguridad a los suscriptores con los que mantengan contratos de provisión de servicios de comunicaciones.

Duro golpe a la privacidad, hora de moverse a Tor

Los expertos apuntan a que, dado que los usuarios solo pueden ver páginas en formato HTTP antes de la descarga del citado certificado, es posible que los atacantes lancen un ataque MiTM (Man in The Middle) para así reemplazar el certificado y espiar las comunicaciones antes de que lo haga el propio gobierno.

El gobierno del país tenía planeada la entrada en vigor de la norma en 2016, pero tras varias demandas y pleitos civiles se ha estancado durante 3 años.

Ahora, sin embargo, el gobierno kazajo parece haberse salido con la suya, alegando de forma «inocente» además que, la citada norma, se pone en marcha porque es necesaria para proteger al ciudadano medio del malware y los hackers.

Kazajstan espiará el tráfico HTTPS de sus ciudadanos

En la imagen anterior podemos ver como, desde el mes de Abril -cuando se hizo pública la norma de forma definitiva- el número de conexiones salientes desde el país a nodos de la red Tor se ha duplicado, de media.

La red Tor suele utilizarse por parte de usuarios que quieren permanecer anónimos. Muchas veces se emplea para acceder a los confines de la Deep Web, pero no siempre. 

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.