El zapatero sin zapatos: gigante chino de ciberseguridad dejó la clave secreta en la "cerradura"
Investigadores, atónitos ante el error garrafal de la empresa
La empresa china Qihoo 360, uno de los mayores actores en el mercado de ciberseguridad, se encontró en el centro de un incidente por un error propio. En el instalador público del nuevo asistente de IA apareció una clave SSL privada que permite autenticar los servidores de la empresa.
El problema fue detectado por el especialista en seguridad Lukasz Olejnik. En el archivo de instalación del asistente 360 Security Claw, creado sobre el proyecto abierto OpenClaw, encontró un archivo no protegido con un certificado válido para el dominio «myclaw.360[.]cn». Basta descomprimir el instalador con cualquier herramienta básica para extraer la clave.
El certificado es válido hasta abril de 2027 y se aplica a todos los subdominios de la plataforma. En la práctica, se trata de una clave maestra que abre el acceso a la autenticación del tráfico dentro de la infraestructura del servicio.
La situación empeora por la escala de la empresa. Qihoo 360 atiende a cientos de millones de usuarios y ocupa una posición dominante en el mercado chino, comparable con el papel de Norton o McAfee a escala global. Al lanzar el producto, el fundador de la empresa, Zhou Hongyi, subrayó que el sistema no permite fugas de contraseñas.
La aparición de una clave así en acceso público crea riesgos serios. Los atacantes pueden hacerse pasar por los servidores de la empresa, interceptar el tráfico de usuarios o desplegar páginas de phishing que los navegadores considerarán completamente legítimas. El uso de certificados reales ya se ha convertido en una tendencia notable en el mundo del cibercrimen, y una fuga de este tipo facilita mucho los ataques.
Al momento de la publicación Qihoo 360 no ha comentado la situación ni ha informado sobre la revocación del certificado comprometido.