Un Equipo de académicos de la Universidad Ruhr-University Bochum en Alemania, dicen haber descifrado el formato de firma electrónica de documentos PDF, y asegura que su hazaña les permitían alterar documentos mientras las firmas parecían seguir siendo válidas.
Este Equipo dice que pudieron utilizar tres variantes de exploits que les permitieron modificar documentos. De esta forma, consiguieron engañar a algunos lectores de PDF de escritorio y las herramientas de verificación en línea.
De acuerdo a su estudio, 21 de los 22 aplicaciones de lectura de documentos PDF eran vulnerables y 5 sobre 7 servicios en línea analizados se vieron afectados.
Es importante recalcar que muchos de estos lectores de escritorio son las aplicaciones utilizadas por los usuarios para validar la firma electrónica de documentos PDF. Las aplicaciones analizadas incluían Acrobat Reader de Adobe, Foxit Reader y LibreOffice, mientras que los servicios en línea DocuSign y Evotrust se encuentran entre los afectados.
Firma electrónica de documentos PDF NO ha sido crackeada: Ni es verdad, ni es fake!!
Si nos detenemos a analizar el estudio, no es cierto que la firma electrónica haya sido alterada. Lo que dice es que alterando la firma electrónica de documentos PDF, con lo que deja de ser válida, consiguen engañar a algunas aplicaciones que verifican la firma electrónica de documentos PDF como si fuera válida… que es muy diferente.
Por tanto, la firma electrónica de documentos PDF no es vulnerable. Son los visores los que han fallado.
Todos los desarrolladores de las aplicaciones afectadas han resuelto los problemas identificados y ya han publicado las actualizaciones correspondientes, de forma que las últimas versiones ya verifican bien la firma electrónica de documentos PDF y no son vulnerables a estos ataques.
Seguridad de los documentos
Todo tipo de Organizaciones, empresas privadas y los Gobiernos eliminan el papel de la gestión diaria y pasan a utilizar formatos PDF. Es parte de la famosa transformación digital.
En éste entorno, la firma electrónica de documentos PDF, que garantiza que el documento no se ha modificado y el origen del mismo, desempeña un papel fundamental para garantizar la seguridad de esos documentos.
firmar.online es uno de los servicios más seguros en la creación y verificación de firmas digitales seguras. Para ello, emplea los algoritmos más actuales en este ámbito.
Además, proporciona seguridad jurídica cumpliendo la normativa de la UE sobre firmas digitales eIDAS que entró en vigor en 2016.
Detalle técnico del Estudio
Las técnicas de ataque utilizadas por el Equipo de la Universidad Ruhr-University Bochum se denominan
- Universal Signature Forgery (USF): éste implica la manipulación de los metadatos de la firma.
- Incremental Saving Attack (ISA): utiliza una característica legítima de la especificación PDF, que permite actualizaciones a un archivo PDF, para ocultar esencialmente el documento existente y crear uno nuevo
- Signature Wrapping Attack (SWA): implica engañar a la lógica de verificación de firma para que procese datos falsificados
«Con nuestros ataques, podemos utilizar un documento firmado existente … y cambiar el contenido del documento de forma arbitraria sin invalidar la firma», escribieron los investigadores en un aviso publicado en un sitio web dedicado a las vulnerabilidades de PDF (ir al estudio).
A modo de ejemplo, este Equipo falsificó una factura de Amazon Alemania para indicar un reembolso de $ 1 billón (£ 750 mil millones) sin comprometer la firma electrónica de documentos PDF.
Cooperación con el CERT
Los investigadores dijeron que comenzaron a examinar las firmas de PDF a principios del año pasado y en octubre comenzaron a contactar a los proveedores con vulnerabilidades, en cooperación con el Equipo de Respuesta a Emergencias Informáticas de Alemania, BSI-CERT.
CERT son las siglas en ingles para “Computer Emergency Response Team”, que en español significa “Equipo de Respuesta para Emergencias Informáticas”.
El S-CERT, es el equipo de respuesta para emergencias informáticas del Grupo Financiero de las Cajas de Ahorros. Además de cajas de ahorros, bancos provinciales (Landesbank) y aseguradoras, el S-CERT incluye también a empresas de servicios de TI del Grupo.
El S-CERT es un servicio que ofrece el Centro Informático de la Organización de Cajas de Ahorros S.L. del SIZ en Bonn. No asiste únicamente a las firmas del Grupo Financiero de Cajas de Ahorros, sino que otras firmas de la economía crediticia alemana también recurren a sus servicios.
A nivel internacional, el S-CERT ofrece sus servicios a sus colaboradores como intermediario con las empresas de economía crediticia. Así pues, el S-CERT constituye un punto de coordinación central para problemas o irregularidades de seguridad de TI.
