Investigadores han descubierto que es posible falsificar la firma digital de un PDF en la mayoría de los programas y servicios.

Las firmas digitales son uno de los métodos más usados para garantizar la identidad y la seguridad de un documento; atestan que la persona correcta ha firmado el texto, y por lo tanto podemos fiarnos de lo que pone. Excepto que no es así, y en ningún caso deberías fiarte de un documento sólo porque esté firmado; la firma puede ser falsificada, como han demostrado unos investigadores de la Universidad Ruhr en Bochum.

Muchos programas son compatibles con las firmas digitales en archivos PDF; indican no solo quién lo ha firmado, sino otros detalles importantes como si el archivo ha sido modificado desde la firma. En teoría, eso nos asegura que los archivos son verídicos, pero la verdad es que los programas usados para firmar estos documentos no son todo lo seguros que deberían.

Falsificar la firma digital de un PDF es posible

Este parece ser un problema muy extendido en el sector, y no afecta sólo a unos pocos programas. De los 22 programas para leer archivos PDF probados, nada menos que 21 se “tragaron” firmas falsas; y cinco de los siete servicios online para firmar documentos probados también fallaron. Entre las apps probadas estaban algunas de las alternativas más usadas; como Adobe Acrobat Reader, LibreOffice o Foxxit, además de servicios como DocuSign o Evotrust. Por lo tanto, no importa el servicio o la app que uses; lo más probable es que no debas confiar en las firmas digitales.



Hay que aclarar que los investigadores no han publicado este descubrimiento hasta que los creadores de todas las apps fueron avisados y desarrollaron parches. Por lo tanto, durante meses estas apps han ofrecido firmas inseguras en sus productos; sin embargo, los investigadores justifican no haber hecho público el problema antes por la importancia de las firmas electrónicas, tanto en empresas como gobiernos o la justicia.

Los parches no suponen un alivio

Por supuesto, esto no es un gran consuelo. Sobre todo porque no estamos hablando de una, sino de tres vulnerabilidades diferentes.

• La primera permite afectar al proceso de verificación de la firma, para que el programa muestre que la firma es válida.
• La segunda permite añadir contenido a un documento PDF ya firmado, sin hacer que la firma deje de ser válida.
• La tercera permite incluir código que además firme el contenido añadido como si fuera el original.

Aunque los investigadores afirman que no han descubierto a nadie que se esté aprovechando de estas vulnerabilidades, esta información no deja en buen lugar a esta tecnología. Sobre todo porque, aunque todas las apps probadas ya hayan sido actualizadas, eso no es garantía de que las firmas ya sean seguras; sobre todo teniendo en cuenta que la mayoría de los usuarios no instala las actualizaciones al momento.

Es muy posible que en estos momentos haya miles de empresas, administraciones y juzgados que estén usando versiones inseguras de estos programas.

omicrono.com / Adrián Raya, 26/02/2019

Las firmas digitales de los PDF pueden ser falsificadas y no sirven absolutamente para nada