Por Alexandru Andrei / 12 de junio de 2019 / Windows
Cada vez que descargas un programa de Internet, tienes que confiar en que el desarrollador no es malicioso. No hay forma de evitarlo. Pero esto no suele ser un problema, sobre todo con programas y desarrolladores conocidos.
Sin embargo, los sitios web que alojan software son más vulnerables. Los atacantes pueden subvertir la seguridad de un sitio web y sustituir los programas por su propia versión maliciosa. Ésta tiene el mismo aspecto y funciona exactamente igual que la original, pero con una puerta trasera insertada. Con esta puerta trasera, los atacantes pueden controlar varias partes de su informática normal del día a día. Su ordenador se inserta en una red de bots o, lo que es peor, la utilidad espera a que usted utilice su tarjeta de crédito/débito y roba sus credenciales. Debe tener especial cuidado cuando descargue software importante, como un sistema operativo, una cartera de criptomonedas o algo similar.
Las firmas digitales pueden salvar el día
Tabla de contenidos
Los creadores de software pueden firmar sus productos. A menos que un atacante pueda robar su clave privada, no hay forma conocida de que alguien pueda falsificar esta firma. Hay numerosos casos en los que miles de usuarios han descargado programas maliciosos, y en casi todos los casos, si hubieran comprobado las firmas digitales, se habrían dado cuenta de que no eran válidas, evitando así la situación. Es relativamente fácil reemplazar el software en un sitio web vulnerable, pero es increíblemente difícil robar una clave privada que está debidamente almacenada y aislada del acceso a Internet.
Puede leer mucho más sobre las firmas digitales aquí. Este artículo trata de lo mismo, excepto que usted utilizará las utilidades de Windows para validar las descargas.
Cómo usar Gpg4win para verificar firmas digitales
Vaya a esta página y descargue e instale Gpg4win. La gente inteligente se preguntará: «¿Pero cómo sé que esto es legítimo?». Y es una buena pregunta. Si esto estuviera roto, entonces todos los pasos posteriores serían inútiles.
Afortunadamente, el desarrollador se tomó la molestia de conseguir que su software fuera firmado por una autoridad de certificación. Y detalla los pasos para verificar su programa en su sitio web. Aunque se utiliza una criptografía similar para comprobar la validez, el método general es diferente. Para ello se utilizan certificados digitales.
Verificar las sumas de comprobación de los archivos
Digamos que quiere descargar el monedero de Bitcoin Core. Descargue el ejecutable para Windows x64 (exe, no zip). Después, haga clic en «Verificar firmas de liberación» para descargar el archivo «SHA256SUMS.asc». El primer paso es verificar el hash del archivo de instalación. Puedes leer más sobre los hashes aquí.
Vaya a su carpeta de descargas, y con Gpg4win instalado, ahora puede hacer clic con el botón derecho en un archivo, y aparecerá un nuevo menú contextual. Haga clic con el botón derecho en el archivo de instalación de Bitcoin (el exe que descargó), y seleccione «Más opciones de GpgEX -> Crear sumas de comprobación», como en la imagen de abajo.
Abra tanto el «sha256sum.txt» que se ha generado como el «SHA256SUMS.asc» que ha descargado. Compare las sumas de comprobación SHA256. Deberían coincidir perfectamente.
Compruebe la firma del archivo que enumera las sumas de comprobación
Aunque acaba de descargar un archivo de instalación y una lista de sumas de comprobación del mismo sitio web, si un atacante sustituyera el archivo de instalación, podría sustituir fácilmente la lista de sumas de comprobación también. Lo que no puede hacer, sin embargo, es falsificar una firma. Ésta puede ser validada por una clave pública conocida (legítima). En primer lugar, necesita descargar esta clave.
La siguiente imagen es el aspecto de una firma.
Se trata de una firma en línea (incluida en el mismo archivo que valida). A veces estará separada, incluida en un archivo separado. Si cambias una sola letra de este archivo de texto, la firma deja de ser válida. Esta es una forma de saber que el desarrollador aprobó y firmó estos contenidos exactos y específicos con las sumas de comprobación correctas.
Importar la clave pública del desarrollador
Tienes las claves públicas disponibles para descargar en «Bitcoin Core Release Signing Keys» en la página de descargas de Bitcoin.
Como medida de precaución, puedes descargarlas de otra fuente. Si un atacante sustituyó las claves legítimas por las suyas propias, lo más probable es que encontremos las claves correctas (y las huellas dactilares) en todos los demás lugares donde se hayan publicado o discutido.
Haga clic con el botón derecho en «SHA256SUMS.asc» y seleccione «Descifrar y verificar». El programa le dirá que aún no tiene la clave pública. Haz clic en «Buscar».
La búsqueda puede tardar un poco. Fíjate en la cadena que aparece en el campo «Buscar».
Puedes copiarla y pegarla en Google para ver si esta huella de clave pública ha sido discutida en hilos/sitios web legítimos del foro, etc. Cuantos más lugares encuentres, más seguro estarás de que pertenece al propietario previsto.
Haz clic en la clave y luego impórtala. Puedes hacer clic en «No» en la pregunta que aparece a continuación (tomar medidas para certificar la clave) si no sabes cómo hacerlo o no quieres hacerlo ahora.
Por último, haz clic en «Mostrar registro de auditoría».
Deberías ver el texto que se ha resaltado en la siguiente imagen, «Buena firma».
Intente cambiar sólo una letra en «SHA256SUMS.asc», y obtendrá lo que se muestra en la siguiente imagen.
Conclusión
Pocos desarrolladores le dan la posibilidad de comprobar que su software proviene de ellos. Pero normalmente los programas que tratan con datos sensibles o son muy importantes le ofrecerán esta opción. Utilízala y puede que algún día te salve de algún problema.
¿Es útil este artículo? SíNoAlexandru AndreiSe enamoró
de los ordenadores cuando tenía cuatro años. 27 años después, la pasión sigue ardiendo, alimentando un aprendizaje constante. Pasa la mayor parte de su tiempo en ventanas de terminal y sesiones SSH, administrando escritorios y servidores Linux.
Comentarios (1)
Philip Jun 22, 2019 at 3:17 am Interesante ver cómo son las firmas digitales.
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept All”, you consent to the use of ALL the cookies. However, you may visit "Cookie Settings" to provide a controlled consent.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duración
Descripción
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
![¿Es legal o ilegal la descarga de torrents y es segura? [MTE Explica]](https://interruptoreselectricos.top/wp-content/uploads/2022/07/es-legal-o-ilegal-la-descarga-de-torrents-y-es-segura-mte-explica-300x169.jpg "¿Es legal o ilegal la descarga de torrents y es segura? [MTE Explica]")
