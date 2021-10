A las 16:01 hora peninsular, potencialmente millones de dispositivos han podido haber perdido acceso a páginas y servicios de Internet.

La mayoría de los productos afectados ya tienen varios años, y en su mayor parte son móviles antiguos, dispositivos del Internet de las Cosas e incluso servidores web. La buena noticia es que es un fallo que se soluciona sólo con mantener actualizados nuestros dispositivos, o usar navegadores web modernos; la mala, es que eso no siempre es posible, y se prevé que una cantidad indeterminada de aparatos no pueda volver a conectarse a Internet.

El problema se encuentra en el primer certificado emitido por uno de los mayores proveedores, Let's Encrypt, que nació como una iniciativa para mejorar la seguridad en la Web. Inicialmente, para acceder a una página web se usaba el protocolo HTTP, pero tenía el inconveniente de que no era seguro; cualquiera que pudiese captar nuestras comunicaciones podía obtener nuestros datos y era posible engañar al usuario con páginas falsas.

HTTPS nació para solucionar esto. Con esta versión del protocolo, los navegadores web cifran la conexión con el servidor, y este puede garantizar su identidad presentando un certificado emitido por una fuente fiable, como Let's Enctrypt. De esta manera, tenemos la seguridad de que nos conectamos a la página que realmente queremos.

Por su propia naturaleza, los certificados no son para siempre: tienen una fecha de caducidad para evitar que en el futuro alguien malicioso los pueda aprovechar. Y el certificado original de Let's Encrypt, llamado "IdentTrust DST Root CA X3", ha caducado hoy 30 de septiembre, a las 16:01 UTC+2 (hora peninsular española).

Normalmente, nada de esto es un problema. Para el usuario medio, no cambiará nada, y podremos seguir navegando y usando servicios online como siempre, y no es necesario siquiera pensar en cosas como "certificados". Eso es porque hay un proceso para cambiar de certificado a uno más nuevo, y la inmensa mayoría de navegadores y dispositivos modernos ya lo ha hecho.

Qué dispositivos no se podrán conectar

El problema está en los que no lo han hecho. Esos dispositivos han perdido o perderán la conexión a páginas web y sus servicios, o sufrirán problemas para ejecutar su software correctamente: son los que no se han actualizado, por un motivo o por otro. Normalmente, porque el fabricante ha abandonado el soporte de su producto, y no ha lanzado la actualización necesaria.

Por lo tanto, aunque es difícil calcular el verdadero impacto de este problema, según Let's Encrypt, los sistemas operativos más viejos serán los más afectados. Destaca Android, que no se podrá conectar si aún tenemos una versión inferior a 2.3.6; también afectará a los iPhone que no puedan actualizar a iOS 10, y los ordenadores que no puedan instalar al menos Windows XP SP3. En los Mac, nos fallará si no podemos instalar macOS 10.12.1.

El problema incluso afecta a consolas de videojuegos, como la PlayStation 3, la PlayStation 4 si no tenemos el firmware 5.00, y la Nintendo 3DS.

En muchos casos, la solución es sencilla: usar un navegador diferente. Si instalamos la última versión de Firefox disponible para nuestro equipo, podremos seguir navegando porque incluye su propia lista de certificados, en vez de depender de los que tiene el sistema. Sin embargo en muchos dispositivos eso no es posible, y no han recibido actualizaciones de los fabricantes.

En estos momentos, aún es un misterio hasta qué punto Internet se verá afectada por esto. La última vez que ocurrió algo semejante fue el 30 de mayo de 2020, cuando un certificado de AddTrust expiró provocando la caída de los servidores de servicios como Stripe. Pero el certificado de Let's Encrypt es mucho más usado, así que es posible que las consecuencias sean mayores.