El cierre de gobierno americano est\u00e1 afectando a m\u00e1s que sitios f\u00edsicos como parques nacionales y monumentos. Las webs gubernamentales est\u00e1n comenzando a cerrar debido a que expiran sus certificados TLS, seg\u00fan la empresa de seguridad y estad\u00edsticas de internet Netcraft. En una entrada en su blog<\/a> afirman que m\u00e1s de 80 webs con el dominio .gov han ca\u00eddo o son inseguras debido a que han expirado los certificados.<\/p>\n Los certificados TLS se utilizan en las comunicaciones cifradas basadas en conexiones HTTPS. Sirven para asegurar que la comunicaci\u00f3n con una web es privada y segura, confirmar con quien est\u00e1s hablando y que nadie est\u00e1 escuchando.<\/p>\n Los certificados los extiende una autoridad de certificaci\u00f3n (CA, por sus siglas en ingl\u00e9s) en la que conf\u00eda el navegador. Los due\u00f1os de las webs tienen que renovar los certificados, para probar que contin\u00faan siendo los due\u00f1os leg\u00edtimos.<\/p>\n Si visitas un sitio web con un certificado caducado, el navegador se dar\u00e1 cuenta y emitir\u00e1 un mensaje de alerta.<\/p>\n El gobierno de EEUU solo realiza acciones que considera esenciales durante el actual cierre, y parece que eso no incluye el renovar los certificados TLS. Al expirar, las webs muestran avisos de seguridad y en muchos casos dejan de funcionar.<\/p>\n Un ejemplo es la web de la NASA para testear cohetes https:\/\/rockettest.nasa.gov<\/a>, que muestra una advertencia intersticial, lo que significa que el certificado ha expirado pero el navegador te da la opci\u00f3n de ignorar el aviso y visitar la web bajo tu responsabilidad. Otra web que sufre del mismo problema es https:\/\/ecf-test.ca6.uscourts.gov<\/a>, una web utilizada por el tribunal de apelaciones americano.<\/p>\n Otros sitios no dan la opci\u00f3n de saltarse las advertencias de certificado expirado, debido a que est\u00e1n incluidas en la lista HSTS (HTTP Strict Transport Security). Esta es una lista de sitios, mantenida por la mayor\u00eda de los navegadores, que proh\u00edbe todas las conexiones que no sean v\u00eda HTTPS.<\/p>\n Muchos sitios se apuntan a la lista HSTS como un seguro. El argumento es que es mejor bloquear las visitas en el supuesto que expire un certificado, a que las comunicaciones puedan ser espiadas o redirigidas.<\/p>\n Por ejemplo, el certificado de la web del Departamento de Justicia https:\/\/ows2.usdoj.gov<\/a> expir\u00f3 el 5 de enero, por lo que las personas que lo visitan reciben una aviso. Dado que est\u00e1 en la lista HSTS<\/a>, sus usuarios no tienen la opci\u00f3n de saltarse el aviso y acceder a la web.<\/p>\n \u00bfPuede empeorar la situaci\u00f3n de las webs del gobierno de EEUU? Es muy posible que m\u00e1s certificados expiren si la situaci\u00f3n contin\u00faa, pero puede que algunos est\u00e9n configurados con autorenovaci\u00f3n, por lo que no se ver\u00edan afectados.<\/p>\n \u00bfY qu\u00e9 ocurrir\u00e1 cuando s\u00ed expiren los propios dominios? La situaci\u00f3n puede que no sea tan preocupante para los dominios .gov ya que solo pueden ser registrados por los departamentos autorizados. Esto complica las cosas para que alguien se pueda hacer con una de estas webs.<\/p>\n Dicho esto, manipular los resultados de las b\u00fasquedas es mucho m\u00e1s sencillo si las webs est\u00e1n ca\u00eddas. Es muy sencillo mejorar los resultados para webs fraudulentas con el mismo nombre que las gubernamentales si estas no funcionan.<\/p>\n El otro problema es que se pueda acceder a las webs pero estas no est\u00e9n actualizadas. Muchas webs ya han advertido que no estar\u00e1n actualizadas durante el cierre, por ejemplo: https:\/\/www.data.gov<\/a>, https:\/\/www.selectusa.gov<\/a>, https:\/\/www.nist.gov<\/a> y https:\/\/www.iat.gov<\/a>.<\/p>\n Ten cuidado cuando visites las webs del gobierno de EEUU que muestren un mensaje de advertencia sobre el certificado TLS. Solo porque puedas saltarte el aviso no significa que debas. Mejor estar \u00a0seguro que lamentarlo.<\/p>\n <\/p>\n <\/p>\n Para manteneros al d\u00eda de las \u00faltimas amenazas<\/strong> haceros fans de nuestra p\u00e1gina de Facebook<\/a> o s\u00edguenos en Twitter<\/a> para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro bolet\u00edn de seguridad<\/a> en tu correo electr\u00f3nico, suscr\u00edbete en la siguiente aplicaci\u00f3n:<\/p>\n \t
![](\"https:\/\/sophos.files.wordpress.com\/2019\/01\/shutterstock_1259786542-compressor.jpg\"\/)
<\/p>\n