El lanzamiento de Android 4.4 KitKat trajo una amplia gama de mejoras, incluida una seguridad mejorada. Si bien la seguridad puede ser más estricta, los mensajes aún pueden ser un poco crípticos. ¿Qué significa exactamente la advertencia persistente de «La red puede ser supervisada», en caso de que esté preocupado, y qué puede hacer para deshacerse de ella?
Estimado How-To Geek,
Recientemente compré un nuevo teléfono Android, y ha habido un nuevo mensaje de advertencia que me está asustando un poco. Nunca apareció en mi antiguo teléfono Android y ahora aparece cada pocos días o cada vez que reinicio el teléfono. El mensaje que parpadea en la barra de estado y luego aparece en el menú de notificaciones es «La red puede ser monitoreada», y luego, si hago clic en el acceso directo de advertencia en el menú de notificaciones, me lleva a un menú del sistema con la etiqueta «Credenciales confiables, ”Con dos pestañas. Uno está etiquetado como «sistema» y el otro está etiquetado como «usuario». Hay toneladas de elementos enumerados en la pestaña «sistema» y solo uno en la pestaña «usuario». Lo que es extraño es que el único elemento que aparece en la pestaña de usuario parece el nombre de un enrutador «netgear».
No tengo idea de qué es todo esto o por qué Android me dice que mi red puede estar monitoreada. ¿Debería estar tan asustado por este mensaje como lo estoy, y qué puedo hacer para que desaparezca? He adjuntado algunas capturas de pantalla en caso de que haya hecho un mal trabajo al describir el problema.
Sinceramente,
Androide paranoico
Este tipo de situación es exactamente la razón por la que no nos gustó mucho la implementación del manejo de credenciales en Android 4.4. El corazón de Google estaba en el lugar correcto, pero la forma en que la actualización lo manejó (y advirtió al usuario) es poco elegante en el mejor de los casos e inquietante (para el usuario final no iniciado) en el peor. Echemos un vistazo a cuál es el mensaje de advertencia y qué puede hacer al respecto.
La fuente de la advertencia
Primero, expliquemos por qué recibe este mensaje de error, ya que Android ofrece casi cero comentarios útiles a este respecto. Su teléfono mantiene una lista de certificados de seguridad de confianza y proporcionados por el usuario. Esa larga lista de entradas en «sistema» que encontró en el menú «Credenciales confiables» es esencialmente solo una gran lista blanca de emisores de certificados de seguridad aprobados con los que Google pre-sembró su teléfono Android. Básicamente, su teléfono dice «Oh, está bien, estas personas son confiables, por lo que podemos confiar en los certificados de seguridad emitidos por ellos».
Cuando se agrega un certificado de seguridad a su teléfono (ya sea manualmente por usted, maliciosamente por otro usuario o automáticamente por algún servicio o sitio que esté usando) y no lo emite uno de estos emisores preaprobados, entonces la función de seguridad de Android entra en acción con la advertencia «Las redes pueden ser monitoreadas». Técnicamente, esa es una advertencia precisa: si se instala un certificado de seguridad malicioso / comprometido en su dispositivo, es posible que el tráfico de su dispositivo pueda ser monitoreado bajo ciertas circunstancias. También es posible que una empresa o proveedor de puntos de acceso utilice certificados autoemitidos en su propio hardware para este propósito (aunque, por lo general, sus motivos son más benignos).
Desafortunadamente, la advertencia emitida es innecesariamente aterradora y no está clara: si no sabe cuál es el trato con las credenciales confiables y los certificados de seguridad, entonces la advertencia también podría estar en binario.
Un certificado ni siquiera tiene que ser realmente malicioso para activar las advertencias, sin embargo, solo tiene que ser emitido / firmado por una autoridad que no figura en la lista de «sistemas» de confianza. Esto significa que si firmó su propio certificado para algún uso (como configurar una conexión segura a su servidor doméstico), Android se quejará de ello. También significa que si su empresa autofirma sus certificados para uso interno y no paga por un certificado firmado oficialmente, también recibirá una advertencia.
Finalmente, y estamos bastante seguros de que esto es exactamente lo que sucedió en su caso, si se conecta a una red Wi-Fi segura que utiliza un certificado de seguridad de un emisor que no está en la lista de confianza de su teléfono, obtener el error. Técnicamente, como mencionamos anteriormente, la empresa podría estar utilizando el certificado autofirmado con fines maliciosos, pero prácticamente la mayoría de las veces que se encuentre con este problema será la causa 1) la empresa no quiere pagar las tarifas de un público certificado que utilizan para fines privados y 2) quieren un control total sobre el proceso de creación y firma del certificado.
Si desea leer más sobre el aspecto técnico de la advertencia (así como sobre lo molesto que el nuevo sistema para manejar certificados ha causado a más de unas pocas personas), puede consultar estos hilos de informes de errores de Android [ 1 , 2] y estos dos publicaciones de blog en GeekTaco [ 1 , 2 ] discutiendo el tema en profundidad.
¿Debería estar preocupado?
La advertencia está redactada con mucha seriedad, y difícilmente lo culpamos por estar un poco asustado. ¿Pero debería estar realmente preocupado? En la gran mayoría de los casos, los usuarios que ven este error no lo ven porque alguien ha instalado un certificado malicioso en su máquina y ahora están en peligro. La razón más común es la que describimos anteriormente: empresas que utilizan certificados autofirmados que no figuran en el directorio de certificados de confianza del sistema porque nunca fueron emitidos por un emisor autorizado.
Dada la probabilidad de que alguien use un certificado malicioso en su contra es baja y la probabilidad de que el certificado cause que la advertencia sea un certificado no malicioso que simplemente no fue creado por una autoridad de certificación verificada públicamente, no necesita entrar en pánico.
Dicho esto, no hay razón para mantener certificados desconocidos y no hay razón para soportar advertencias que no se apliquen a su situación. Veamos lo que puede hacer en ambos escenarios.
¿Qué puedes hacer?
La gran mayoría de los certificados de fuentes legítimas deben estar debidamente firmados y verificados. En los raros casos en que tenga un certificado válido sin firmar (por ejemplo, lo creó usted mismo o su empresa lo está utilizando para redes internas), conocerá el origen del certificado porque participó en su creación o en una conversación. con la gente de TI debería aclarar las cosas.
Entonces, a menos que esté usando Android en un entorno corporativo (en el que debe consultar con sus técnicos de TI para ver cuál es el trato con el certificado porque podría ser uno que ellos crearon) o que haya creado el certificado usted mismo, la solución más fácil es simplemente mantenga pulsado cualquier certificado desconocido que se encuentre en la categoría «usuario» de la categoría «certificados de confianza» y elimínelos (el botón de eliminación se encuentra en la parte inferior del panel de información). Cuantos menos cabos sueltos no identificados (especialmente en su lista de certificados), mejor.
Si tiene un certificado legítimo que arroja el error porque está en la lista de «usuarios» en lugar de en la lista de «sistema», puede (a su propia discreción y riesgo) mover manualmente el certificado de la lista / directorio de usuarios al lista / directorio del sistema. Esta no es una tarea que deba tomarse a la ligera, por lo que si no está completamente seguro de que el certificado de la lista de «usuarios» es seguro porque 1) usted lo creó o 2) el personal de TI de su empresa verificó que es uno de sus certificados , no debes intentar un movimiento.
Si confía en la seguridad y el origen del certificado, el ingeniero y entusiasta de Android Sam Hobbs tiene una guía de instrucciones claramente escrita para mover manualmente sus certificados y otro programador y entusiasta Felix Ableitner tiene una aplicación de código abierto que realiza la misma tarea sin el trabajo de línea de comando. Nuevamente, a menos que tenga una necesidad urgente (y bien entendida) del certificado, le recomendamos que no lo haga.
¿Tiene una pregunta tecnológica urgente? Envíenos un correo electrónico a [email protected] y haremos todo lo posible para responderlo.
