En mayo de 2025, se emitieron tres certificados TLS falsos para el servicio DNS público 1.1.1.1 de Cloudflare, lo cual podría haber expuesto el historial de navegación de los usuarios de Windows y Microsoft Edge.
Los certificados fueron emitidos de forma no autorizada por la autoridad certificadora Fina RDC 2020. Estos certificados TLS son cruciales para garantizar la seguridad y privacidad de las comunicaciones en línea. No obstante, si una entidad no autorizada posee un certificado válido, puede interceptar el tráfico de datos en lo que se conoce como un ataque de «adversario en el medio».
¿Quiénes estuvieron en riesgo?
La autoridad certificadora Fina RDC 2020 es confiable por defecto en los sistemas Windows y el navegador Microsoft Edge porque está ligada al programa de certificados raíz de Microsoft. Por lo tanto, solo los usuarios de estos sistemas y navegadores estuvieron en riesgo. Los usuarios de Chrome, Firefox y Safari no se vieron afectados, ya que estos navegadores no confían en la autoridad certificadora Fina.
Cloudflare confirmó que no solicitó ni autorizó la emisión de estos certificados. La empresa notificó inmediatamente a Fina, Microsoft y al organismo supervisor de Fina para que tomaran medidas. Además, aseguró a sus usuarios que su servicio WARP VPN no se vio afectado.
Medidas de mitigación
Microsoft indicó que ha solicitado a la autoridad certificadora que tome medidas de inmediato y que planea bloquear los certificados falsos al agregarlos a su lista de certificados no permitidos. A pesar de que el incidente se descubrió cuatro meses después de que se emitieran los certificados, este evento resalta la fragilidad de la infraestructura de seguridad en línea, ya que un simple error o compromiso de una autoridad certificadora puede minar la confianza de millones de usuarios.
Este incidente subraya la importancia de los registros de transparencia de certificados, diseñados para detectar rápidamente errores de este tipo. Sin embargo, en este caso, los certificados pasaron desapercibidos durante casi cuatro meses.
