Cómo verificar la autenticidad del software de Windows con firmas digitales

Por Alexandru Andrei / 12 de junio de 2019 / WindowsComprobación de las firmas de los programas informáticos destacados

Cada vez que descargas un programa de Internet, tienes que confiar en que el desarrollador no es malicioso. No hay forma de evitarlo. Pero esto no suele ser un problema, sobre todo con programas y desarrolladores conocidos.

Sin embargo, los sitios web que alojan software son más vulnerables. Los atacantes pueden subvertir la seguridad de un sitio web y sustituir los programas por su propia versión maliciosa. Ésta tiene el mismo aspecto y funciona exactamente igual que la original, pero con una puerta trasera insertada. Con esta puerta trasera, los atacantes pueden controlar varias partes de su informática normal del día a día. Su ordenador se inserta en una red de bots o, lo que es peor, la utilidad espera a que usted utilice su tarjeta de crédito/débito y roba sus credenciales. Debe tener especial cuidado cuando descargue software importante, como un sistema operativo, una cartera de criptomonedas o algo similar.

Las firmas digitales pueden salvar el día

Los creadores de software pueden firmar sus productos. A menos que un atacante pueda robar su clave privada, no hay forma conocida de que alguien pueda falsificar esta firma. Hay numerosos casos en los que miles de usuarios han descargado programas maliciosos, y en casi todos los casos, si hubieran comprobado las firmas digitales, se habrían dado cuenta de que no eran válidas, evitando así la situación. Es relativamente fácil reemplazar el software en un sitio web vulnerable, pero es increíblemente difícil robar una clave privada que está debidamente almacenada y aislada del acceso a Internet.

RELACIONADO:  Lo que las filtraciones de Cloudbleed nos dicen sobre la seguridad en línea

Puede leer mucho más sobre las firmas digitales aquí. Este artículo trata de lo mismo, excepto que usted utilizará las utilidades de Windows para validar las descargas.

Cómo usar Gpg4win para verificar firmas digitales

Vaya a esta página y descargue e instale Gpg4win. La gente inteligente se preguntará: «¿Pero cómo sé que esto es legítimo?». Y es una buena pregunta. Si esto estuviera roto, entonces todos los pasos posteriores serían inútiles.

Afortunadamente, el desarrollador se tomó la molestia de conseguir que su software fuera firmado por una autoridad de certificación. Y detalla los pasos para verificar su programa en su sitio web. Aunque se utiliza una criptografía similar para comprobar la validez, el método general es diferente. Para ello se utilizan certificados digitales.

Verificar las sumas de comprobación de los archivos

Digamos que quiere descargar el monedero de Bitcoin Core. Descargue el ejecutable para Windows x64 (exe, no zip). Después, haga clic en «Verificar firmas de liberación» para descargar el archivo «SHA256SUMS.asc». El primer paso es verificar el hash del archivo de instalación. Puedes leer más sobre los hashes aquí.

Vaya a su carpeta de descargas, y con Gpg4win instalado, ahora puede hacer clic con el botón derecho en un archivo, y aparecerá un nuevo menú contextual. Haga clic con el botón derecho en el archivo de instalación de Bitcoin (el exe que descargó), y seleccione «Más opciones de GpgEX -> Crear sumas de comprobación», como en la imagen de abajo.

Comprobar las firmas del software Haga clic con el botón derecho en las sumas de comprobación

Abra tanto el «sha256sum.txt» que se ha generado como el «SHA256SUMS.asc» que ha descargado. Compare las sumas de comprobación SHA256. Deberían coincidir perfectamente.

RELACIONADO:  Chrome OS vs. Windows 10 S: ¿Cuál es el adecuado para ti?

Comprobar firmas de software Comparar sumas de comprobación Sha256

Compruebe la firma del archivo que enumera las sumas de comprobación

Aunque acaba de descargar un archivo de instalación y una lista de sumas de comprobación del mismo sitio web, si un atacante sustituyera el archivo de instalación, podría sustituir fácilmente la lista de sumas de comprobación también. Lo que no puede hacer, sin embargo, es falsificar una firma. Ésta puede ser validada por una clave pública conocida (legítima). En primer lugar, necesita descargar esta clave.

La siguiente imagen es el aspecto de una firma.

Ejemplo de firma en línea de Check Software

Se trata de una firma en línea (incluida en el mismo archivo que valida). A veces estará separada, incluida en un archivo separado. Si cambias una sola letra de este archivo de texto, la firma deja de ser válida. Esta es una forma de saber que el desarrollador aprobó y firmó estos contenidos exactos y específicos con las sumas de comprobación correctas.

Importar la clave pública del desarrollador

Tienes las claves públicas disponibles para descargar en «Bitcoin Core Release Signing Keys» en la página de descargas de Bitcoin.

Como medida de precaución, puedes descargarlas de otra fuente. Si un atacante sustituyó las claves legítimas por las suyas propias, lo más probable es que encontremos las claves correctas (y las huellas dactilares) en todos los demás lugares donde se hayan publicado o discutido.

Haga clic con el botón derecho en «SHA256SUMS.asc» y seleccione «Descifrar y verificar». El programa le dirá que aún no tiene la clave pública. Haz clic en «Buscar».

Comprobar las firmas de software Buscar la clave pública

La búsqueda puede tardar un poco. Fíjate en la cadena que aparece en el campo «Buscar».

RELACIONADO:  Para que sirve la sierra de banco

Comprobar las firmas de los programas informáticos Huella dactilar de la clave

Puedes copiarla y pegarla en Google para ver si esta huella de clave pública ha sido discutida en hilos/sitios web legítimos del foro, etc. Cuantos más lugares encuentres, más seguro estarás de que pertenece al propietario previsto.

Haz clic en la clave y luego impórtala. Puedes hacer clic en «No» en la pregunta que aparece a continuación (tomar medidas para certificar la clave) si no sabes cómo hacerlo o no quieres hacerlo ahora.

Por último, haz clic en «Mostrar registro de auditoría».

Comprobar las firmas de software Mostrar el registro de auditoría

Deberías ver el texto que se ha resaltado en la siguiente imagen, «Buena firma».

Comprobar las firmas del software Buena firma

Intente cambiar sólo una letra en «SHA256SUMS.asc», y obtendrá lo que se muestra en la siguiente imagen.

Comprobar firmas de software Firma incorrecta

Conclusión

Pocos desarrolladores le dan la posibilidad de comprobar que su software proviene de ellos. Pero normalmente los programas que tratan con datos sensibles o son muy importantes le ofrecerán esta opción. Utilízala y puede que algún día te salve de algún problema.

¿Es útil este artículo? SíNoAlexandru AndreiSe enamoró

de los ordenadores cuando tenía cuatro años. 27 años después, la pasión sigue ardiendo, alimentando un aprendizaje constante. Pasa la mayor parte de su tiempo en ventanas de terminal y sesiones SSH, administrando escritorios y servidores Linux.

Comentarios (1)

  1. Philip Jun 22, 2019 at 3:17 am Interesante ver cómo son las firmas digitales.

Los comentarios están cerrados.