Cloudflare confirmó la emisión no autorizada de 12 certificados TLS por parte del certificador croata Fina a nombre del IP 1.1.1.1, su conocido resolutor público de DNS. Los certificados, fechados entre febrero de 2024 y agosto de 2025, salieron a la luz gracias a los registros públicos de Certificate Transparency (CT) y al debate en la lista Mozilla dev-security-policy. La compañía califica el evento como un caso de mis-issuance y ha activado acciones de contención.
Cadena de confianza y alcance en Windows: por qué importa el root de Fina
La emisión se realizó desde el subordinado Fina RDC 2020, bajo la jerarquía Fina Root CA. Este root goza de confianza en el ecosistema de Microsoft, por lo que el impacto potencial se extiende a Windows y al navegador Microsoft Edge. En la práctica, una parte de los usuarios que utilizan 1.1.1.1 en entornos Microsoft podría haber confiado automáticamente en esos certificados hasta su bloqueo o revocación.
Riesgo técnico: MITM sobre DoH/DoT y certificados emitidos a IP
Un certificado TLS vincula un dominio o una dirección IP a una clave pública. Si un atacante obtiene el certificado y su clave privada correspondiente, puede suplantar criptográficamente el extremo objetivo, facilitando un ataque de intermediario (MITM). En DNS over HTTPS (DoH) y DNS over TLS (DoT), esto habilita la intercepción, descifrado y manipulación de consultas DNS hacia 1.1.1.1. Cloudflare subrayó que el tráfico protegido por WARP VPN no se ve afectado, pero adopta el peor escenario operativo: suponer que la clave privada pudo existir fuera de su control.
Respuesta de la industria: revocación, bloqueo y confianza del navegador
Cloudflare contactó con Fina, con Microsoft y con el regulador TSP para exigir la revocación y revisar la confianza. Microsoft comunicó medidas inmediatas para bloquear los certificados problemáticos en su ecosistema. Por su parte, Google, Mozilla y Apple indicaron que sus navegadores no confiaban en el root de Fina, por lo que usuarios de Chrome, Firefox y Safari no requieren acciones adicionales en este incidente concreto.
Transparencia de certificados: detección temprana y límites operativos
La PKI pública es una red de confianza distribuida: el fallo de un único Certification Authority (CA) puede degradar la seguridad de muchos servicios. La Certificate Transparency aporta visibilidad al exigir que cada emisión quede registrada en diarios públicos, lo que permitió identificar el caso de Fina. No obstante, la detección depende de un monitoreo continuo y eficaz de dichos diarios, incluidas coincidencias sobre IP address certificates.
Cloudflare reconoció áreas de mejora en su vigilancia de CT: filtros poco precisos para certificados por IP y señales ruidosas que redujeron alertas. La compañía afirma haber reforzado la correlación, automatizado respuestas y ajustado las reglas para minimizar falsos negativos y acortar el tiempo de reacción ante mis-issuance.
Lecciones del ecosistema PKI: precedentes y buenas prácticas
El episodio remite a fallas históricas en la cadena de confianza, desde DigiNotar (2011) hasta las sanciones sobre parte de la infraestructura de Symantec (2017). Estos casos evidencian que errores operativos o abusos en CAs erosionan la seguridad a escala global. La disciplina operativa, la auditoría independiente y la minimización de la confianza son tan críticas como la criptografía subyacente.
Recomendaciones para equipos de seguridad y TI
Monitoreo CT continuo: activar vigilancia para dominios y, cuando aplique, direcciones IP; integrar alertas en SIEM/SOAR y definir playbooks de respuesta. Revocación y validación: verificar OCSP/CRL en endpoints Windows, habilitar OCSP stapling y comprobar políticas de bloqueo en navegadores corporativos. Endurecimiento de clientes y apps: aplicar certificate pinning donde sea seguro y auditar periódicamente almacenes de raíces confiadas, restringiendo CAs controvertidas si el riesgo lo justifica. Segmentación de riesgo: preferir canales adicionales de integridad (por ejemplo, VPN empresarial) para tráfico crítico de resolución.
La resiliencia de la infraestructura de confianza depende tanto de la tecnología como de procesos medibles y automatizados. Revise hoy sus controles de Certificate Transparency, acelere la respuesta a emisiones indebidas y reduzca la superficie de confianza en su entorno. Con una monitorización proactiva y políticas de revocación efectivas, el riesgo para DoH/DoT y otros flujos críticos se reduce de forma significativa.
