Home / Blog / General / Una nueva amenaza para la seguridad en internet: ¿qué están haciendo Chrome y Cloudflare para combatirla?

Una nueva amenaza para la seguridad en internet: ¿qué están haciendo Chrome y Cloudflare para combatirla?

¿Cómo protegen Chrome y Cloudflare la seguridad en internet ante las computadoras cuánticas?

La seguridad de los datos en la web está en peligro. La evolución de la informática ha llegado hasta la computación cuántica, la cual promete traer avances en diversas áreas. Eso sí, muchas de estas mejoras también llegan con amenazas que afectan la seguridad de HTTPS.

¡Pero no hay de qué preocuparse! Entidades como Chrome y Cloudflare ya están trabajando en un programa para evitar que tus datos sean manipulados y fáciles de interceptar. Esta acción en conjunto consiste en mejorar la transparencia y eficiencia dentro de la WebPKI por medio de Árboles de Merkle.

Si quieres saber en qué consiste esta estrategia, sigue leyendo.

Antes de hablar de esta estrategia, primero veamos cómo se protege la información en los sitios web hoy en día

¿Sabías que hoy en día internet trabaja sobre una base de confianza invisible? Cada vez que ingresas a un sitio con HTTPS, tu navegador decide si se puede confiar y compartir datos. El candado que observas en la barra de navegación representa que el sitio web es seguro, pero detrás de este ícono existe un gran proceso para verificar la identidad de un sitio web.

Para que un servidor se considere seguro, debe obtener una certificación dentro de la WebPKI (Public Key Infrastructure de la web). Imagina a la WebPKI como un ecosistema de confianza donde los navegadores pueden confirmar la identidad de un servidor.

Contenido relacionado: Conozca los tipos de protocolos de red más importantes

Los certificados, denominados X.509, se solicitan a través de una Autoridad Certificadora (CA). Contienen información como el dominio del servidor, la clave de sesión pública y la firma digital de la CA. Suena sencillo, ¿no?

Lo cierto es que, en algunos casos, el cliente (navegador) no reconoce la autoridad que está validando la información de ese sitio. Por eso, los servidores tienen que recurrir a certificados intermedios emitidos por otras entidades. De esta forma, el servidor crea una cadena de certificados y el navegador termina validando las firmas de cada uno.

Y... ¿ese es todo el proceso?

No. Una vez el usuario desea ingresar al sitio web, el navegador y el servidor proceden a tener una conversación. A esto se le conoce como handshake TLS.

Primero, el navegador inicia la conversación. Una vez el servidor responde, este le indica las versiones TLS y los protocolos criptográficos que soporta. Luego, el servidor selecciona los parámetros compatibles y envía su certificado X.509 junto con la cadena de certificados correspondientes.

A continuación, el cliente valida que el certificado pertenezca al dominio solicitado —verificando las firmas digitales de cada certificado— y que la CA emisora sea confiable. Por último, las dos partes generan una clave de sesión compartida para cifrar toda la comunicación posterior.

Ilustración del handshake entre un servidor y un cliente | Fuente: CloudFlare

¿Qué pasa hoy en día con la seguridad de los sitios web?

Bueno, el sistema de cifrado actual procesa y transmite información gracias a algoritmos matemáticos de TLS. Hasta el momento, esta criptografía había manejado bien el tema de la seguridad. Pero desde la informática y la ingeniería se viene desarrollando un campo que promete resolver los problemas que las computadoras clásicas más potentes no pueden: la computación cuántica.

La computación cuántica promete avances en diversos campos de la informática. Sin embargo, fuentes como Cloudflare aseguran que también llegaría a vulnerar gran parte de la criptografía que tenemos ahora.

¿Qué cambia con el uso de computadoras cuánticas?

A diferencia de las computadoras clásicas, que resuelven problemas uno por uno, las computadoras cuánticas pueden llegar a una solución más rápido. Esto es porque exploran muchas posibilidades a la vez y van descartando las incorrectas mientras resaltan la correcta. Al resolver problemas matemáticos más rápido que las computadoras clásicas, la computación cuántica podría causar problemas a los algoritmos TLS.

Aunque es cierto que las computadoras cuánticas no están implementadas al 100%, los atacantes hoy en día están desarrollando estrategias para sacar provecho de esta futura vulnerabilidad.

Contenido relacionado: ¿Sabías que la vida útil de los certificados en sistemas va a cambiar?

Harvest now, decrypt later consiste en interceptar y guardar hoy información sensible, como credenciales de acceso o información bancaria, para que en el futuro, con ayuda de las computadoras cuánticas, se pueda descifrar y utilizar con fines maliciosos.

Cloudflare y Chrome también han expresado que los algoritmos cuánticos pueden romper los clásicos. Esto podría impulsar el temor de que las identidades de los servidores sean suplantadas ante navegadores que quieran hacer conexión con el sitio.

Entonces, ¿la seguridad en la web está pérdida?

Por supuesto que no. Entidades como Cloudflare y Chrome están enfocadas en diseñar mejoras para la seguridad de los certificados y claves TLS.

Uno de estos avances es el desarrollo de algoritmos postcuánticos (PQC), diseñados para resistir las intervenciones de las computadoras cuánticas. Pero hay un problema: utilizar este tipo de algoritmos para mejorar la seguridad de HTTPS implica la creación de certificados y claves más pesadas. Además, es un proceso costoso en comparación con las computadoras clásicas. Esto dificulta el procesamiento de datos para las computadoras clásicas, lo que hace que el proceso de verificación sea más lento.

Lo positivo es que entidades como Cloudflare han implementado un modelo de cifrado híbrido, combinando algoritmos clásicos con algoritmos postcuánticos. Esta acción se realiza durante el handshake, cuando se negocian las claves de sesión. Lo anterior se hace con el fin de mitigar el ataque conocido como harvest now, decrypt later.

Sin embargo, este cifrado PQC todavía no se ha implementado para generar los certificados X.509. ¿Pero por qué?

Pues porque, durante el handshake, el navegador valida la cadena de certificados y verifica las firmas digitales para autenticar al servidor. En el caso de esquemas de criptografía postcuántica, algunos certificados y firmas pueden ser más grandes y costosos que los algoritmos clásicos. Lo anterior puede aumentar ligeramente el tiempo de procesamiento durante la negociación de claves.

Es por esto que Cloudflare y Chrome, junto al Grupo de Trabajo de Ingeniería de Internet (IETF), están desarrollando un programa para optimizar la verificación de certificados postcuánticos en la WebPKI de TLS. Crearon un grupo de trabajo denominado PLANTS (PKI, Logs, And Tree Signatures) con el objetivo de mejorar los certificados de HTTPS con Árboles de Merkle (MTC).

¿En qué consiste PLANTS?

Lo que estas entidades pretenden con el programa PLANTS es que las autoridades certificadoras (CA) agrupen los certificados emitidos en lotes y, a partir de estos, creen un Árbol de Merkle. Cada certificado se convierte en un hash, que sería como una huella digital del dato. Luego, dichos hashes se combinan en pares y generan nuevos hashes hasta tener un valor final. Este es conocido como la raíz del árbol (head tree), que es firmada por la CA. Lo anterior permite verificar la pertenencia e integridad de todos los certificados en ese lote.

Ilustración de una estructura de datos con Árbole Merkle | Fuente: Cloudflare

Estos lotes de certificados no son estáticos. Suelen organizarse en ventanas de tiempo (por horas o días) y cada Árbol de Merkle representa los certificados emitidos por una CA dentro de ese periodo. Lo anterior permite mantener el sistema actualizado y facilita la auditoría sin necesidad de mantener un único árbol permanente.

Ahora bien, cuando un servidor realiza el handshake con un navegador, lo que hace es enviar su certificado del servidor. También envía la prueba de inclusión en el Árbol de Merkle, la cual consiste en un conjunto de hashes hermanos. Por último, se incluye la firma de la CA sobre la raíz del árbol. Esto permite al navegador verificar que el certificado pertenece al conjunto de certificados registrados por la CA.

Actualmente, Chrome ya se encuentra implementando MTC con tráfico en internet y planea ampliar el uso de estos para mejorar la seguridad de HTTPS. Según esta entidad, el proceso consta de tres fases:

Fase 1 (en curso): en conjunto con Cloudflare, están implementando certificados híbridos en entornos reales. O sea, certificados MTC con certificados X.509 como respaldo para evaluar el rendimiento y la seguridad dentro de las conexiones TLS.
Fase 2 (primer trimestre de 2027): una vez validada la tecnología MTC y antes del 1 de febrero, se invitará a participar en la puesta en marcha inicial de los MTC públicos a entidades que manejan la seguridad de HTTPS y que tengan al menos un registro en Chrome.
Fase 3 (tercer trimestre de 2027): al iniciar la fase 2, Chrome definirá los requisitos que deberán cumplir las Autoridades Certificadoras (CA) para incorporarse al nuevo ecosistema postcuántico basado en MTC y al nuevo almacén de confianza Chrome Quantum-resistant Root Store (CQRS). Ese nuevo sistema coexistirá con el programa de raíces actual de Chrome para permitir una transición gradual y segura hacia una criptografía resistente ante la computación cuántica. Además, algunos sitios web podrán optar por usar exclusivamente certificados y mecanismos postcuánticos si así lo desean.

Proteger la seguridad de los datos sensibles es importante para mantener la confianza con tus usuarios

¿Sabías que ManageEngine posee herramientas que te ayudan a gestionar certificados digitales, claves criptográficas y accesos seguros dentro de tu infraestructura?

Conoce Key Manager Plus: una solución empresarial que permite descubrir, monitorear y renovar certificados SSL/TLS, así como gestionar clases SSH y otros activos criptográficos. Además, facilita la automatización de tareas relacionadas con el ciclo de vida de los certificados. Esto ayuda a prevenir riesgos como certificados expirados, accesos no autorizados o fallos de seguridad.

Conclusión

Para nadie es un secreto que la implementación de computadoras cuánticas representa grandes avances para el campo de la ingeniería y el desarrollo tecnológico. Al mismo tiempo, plantea desafíos para la seguridad de los datos en la web. Su capacidad para romper los métodos de cifrado tradicionales hace que se creen nuevas formas de proteger los datos.

En este contexto, organizaciones como Cloudflare y Chrome han optado por implementar los códigos postcuánticos en la generación de claves, además del uso de Árboles de Merkle para mantener la eficiencia en la verificación de certificados X.509. Estas medidas se están convirtiendo en alternativas clave para fortalecer la ciberseguridad y garantizar que la información se mantenga segura frente a las amenazas del futuro.