El 30 de septiembre millones de móviles, ordenadores, consolas y televisores podrían quedarse sin internet

El próximo 30 de septiembre podría tener lugar una retrodebacle tecnológica. Modelos antiguos de Mac, de iPhone, de Smart TV, de ordenadores, de consolas (como Nintendo 3DS, PS3 e incluso algunas PS4)... podrían perder parte de su conexión a Internet la semana que viene.

Esto podría ocurrir porque justo ese día caduca un certificado digital muy utilizado que normalmente se utiliza para verificar que las conexiones a Internet son seguras. Millones de dispositivos antiguos dependen de este certificado así que en teoría no serán capaces de actualizarse e instalar nuevos certificados.

Como resultado, estos aparatos podrían dejar de realizar todas aquellas actividades que requieran de una conexión segura (como mirar los nuevos emails, ver Netflix o navegar por las webs actualizadas).

No se trata de un aviso precipitado. A mediados de 2020 el investigador en seguridad Scott Helme ya avisó al respecto. Calculó que por ejemplo un 30% de los móviles Android podrían quedarse eternamente en modo offline.

"Quizás no habrá que hacer nada al respecto y se resuelve solo", explicó Helme en su entrada más reciente de su blog. "Pero apuesto a que algunas cosas se romperán el próximo 30 de septiembre".

Helme dice de "hacer algo al respecto". ¿Quiere decir que hay acciones que se pueden tomar para evitar este problema?

En el caso de los móviles Android antiguos, ya se ha creado una contramedida para que muchos de ellos sigan funcionando hasta septiembre de 2024. Si tienes instalado Android 2.3.6 Gingerbread, no perderás conectividad. Pero a partir de 2024 tu móvil deberá tener al menos la versión 7.1.1. Nougat.

Todavía no hay contramedida para otros dispositivos. Eso incluye los Mac que tengan la versión macOS 10.12.0 o anterior, iPhone y iPad con iOS 9 o anterior, consolas PS3 con firmware en versión 5.00 o anterior, ordenadores que funcionen con Windows XP Service Pack 2 o anterior... Todos estos podrían verse afectados por el problema.

Si tienes algunos de estos dispositivos y puedes actualizarlos, hazlo antes del 30 de septiembre. En todos los casos basta con actualizar el aparato a una versión posterior a las indicadas. Por ejemplo, si no puedes obtener Windows 10 o Win 11, puedes actualizar tu Windows XP para que tenga el Service Pack 3.

Hay dispositivos que no pueden actualizarse hasta versiones estables. En el caso de PS3, su firmware solo llega a la versión 4.88. Sony lanzó esta actualización en junio de 2021, pero en sus notas al respecto no específica si prepara la consola para el cambio de certificado de seguridad.

La situación es más dudosa en aparatos del Internet de las cosas como Smart TV, neveras inteligentes, routers... Si el aparato es de antes del 2017, seguramente se verá afectado al respecto, sobre todo si no ha recibido ninguna actualización reciente del firmware.

Detrás de todo este lío se encuentra un proceso conocido como cadena de confianza, según explica Tom's Guide. Cuando un servidor como una página web se conecta a un cliente como tu PC, se inicia un proceso de validación tras validación para confirmar que tu conexión es segura para el servidor y viceversa. Al final de esta cadena se encuentran los certificados raíz.

Aunque los certificados raíz son incuestionables ("si confías en mí, puedes confiar en todo lo que venga de mi parte"), al final caducan, como casi todo en esta vida. Y el certificado superutilizado DST Root CA X3 caduca el 30 de septiembre. 

DST Root CA X3 tiene una suerte de sucesor moderno, el ISGR Root X1, que caducará en el lejano junio de 2035. Aunque muchos dispositivos modernos directamente se vinculan a ISGR Root X1 (y por eso no se verán afectados por la expiración de CA X3), muchos dispositivos antiguos no son compatibles y necesitan todavía a DST Root CA X3.

Cuando DST Root CA X3 caduque en unos días, todos los aparatos antiguos vinculados a él no confiarán en ISGR Root X1, rompiendo así la cadena de confianza.

Ahora bien, cuando eso ocurra podrían pasar muchas cosas. Existen otros certificados raíz, y es posible que algunos aparatos los utilicen para validar sus actividades online. No obstante, esta incertidumbre fue lo que provocó que Scott Helme avisara hace ya más de un año.

"No sé qué hay exactamente en la red, no sé qué depende de cada certificado", explica el especialista en seguridad. "Lo que sí que sé es que al menos algo, en algún lugar, se romperá el 30 de septiembre".