La mayoría de los profesionales de seguridad de TI creen que habrá una importante violación a Autoridades Certificadoras (CA por sus siglas en inglés) dentro de los próximos 24 meses, a pesar de eso, no están preparados para responder a tal compromiso, según una nueva investigación de la empresa Venafi en Black Hat.

La firma de seguridad de certificados digitales entrevistó a los asistentes de este año en Black Hat y en RSA Conference para recopilar datos para su informe: IT Security Professionals Know the Risk of Untrusted Certificates and Issuers, but Do Nothing.

Se reveló que 90% piensa que una CA líder será comprometida en los próximos dos años, como sucedió con DigiNotar, sin embargo, 57% no estaría preparado para hacer frente a esto. Peor aún, 30% no saben lo que harían o continuarían utilizando la misma CA ante tal evento.

De hecho, el estudio reveló una preocupante falta de comprensión por parte de los profesionales de seguridad sobre el funcionamiento de la industria de Autoridades de Certificación.

Una mayoría (63%) respondió que no saben o creen erróneamente que una CA asegura certificados y claves criptográficas cuando en realidad se limitan a emitir y revocar llaves y no controlan su uso activo, dijo Venafi.

Esta falta de entendimiento se refleja en el hecho de que tres cuartas partes (74%) de los encuestados todavía no han tomado acción alguna para eliminar a la CA china CNNIC de sus escritorios, laptops y dispositivos móviles, a pesar de que la autoridad ha sido considerada oficialmente poco fiable por Google y Mozilla.

A pesar de que muchos profesionales de seguridad entienden los riesgos de una CA no confiable, 58% de los encuestados afirma que estaban preocupados por el riesgo de ataques MITM de autoridades de certificación deshonestas.

Google decidió en abril que las CA raíz CNNIC y EV “ya no serán reconocidas en los productos de Google” después de que una CA subordinada aprobada por el gigante chino emitió certificados falsos de Google por varios dominios dentro de su red de prueba.