¿Por qué HTTPS no significa «sitio seguro»

Se ha condicionado a sí mismo para ver los sitios certificados por SSL , con un candado verde y el protocolo HTTPS, como «sitios seguros» . Esta certeza hace que las personas piensen que al ingresar datos bancarios o inicios de sesión y contraseñas en estos entornos, no están en peligro. Sin embargo, la tecnología de certificado digital no funciona exactamente así y una «conexión segura» (significado real de esta señalización) no implica una idem del sitio. Sí, hay sitios web maliciosos con certificados digitales legítimos.

  • Google y Symantec están en guerra por los certificados SSL
  • Todos los sitios sin HTTPS serán marcados como inseguros por Chrome

La presencia de sitios con HTTPS solo crece a medida que el protocolo se ha convertido en estándar en Internet, ya que Google (el propietario del navegador más popular ) ha desalentado los sitios no cifrados desde el lanzamiento de Chrome 68, que marca todas las páginas HTTP. «Inseguro» , lo que lleva a una carrera por la certificación. La mayoría de los propietarios no quieren que Google clasifique sus sitios como inseguros, y la migración a HTTPS es cuestión de tiempo. Ingresar datos confidenciales en cualquier entorno en línea sin la «S» sigue siendo una mala idea de todos modos.

¿Por qué HTTPS no significa "sitio seguro" 1

¿Qué es un certificado SSL?

El Certificado de Capa de Conexión Segura (SSL) es un archivo de datos que vincula digitalmente una clave cifrada a una empresa. Cuando se instala en un servidor, SSL habilita el bloqueo y el protocolo HTTPS en un sitio, proporcionando «conexiones seguras» entre el servidor web y el dispositivo. Evitar, por ejemplo, la intercepción de datos.

“SSL es la tecnología de seguridad estándar para establecer una conexión encriptada entre un servidor web y un navegador. Esta conexión asegura que todos los datos pasados ​​entre el servidor web y su navegador [inicios de sesión y contraseñas, datos bancarios, números de tarjetas de crédito y registros] permanecen privados ”, define SSL.com .

¿Cómo funciona la certificación digital?

Una conexión certificada SSL siempre es iniciada por el cliente. Cuando un usuario del navegador solicita conectarse a un sitio seguro, el navegador (cualquiera que sea Chrome, Firefox , Safari, etc.) solicita enviar el «Certificado digital» y verificar que sea válido, actualizado y pertenece al sitio en cuestión. En este caso, la URL comenzará con HTTPS.

El problema con HTTPS

El problema es que los candados verdes, HTTPS en la URL y los certificados SSL en sí mismos no dicen nada sobre el sitio. Una página de phishing puede obtener un certificado digital, mostrar el «bloqueo» y cifrar el flujo de información con una «conexión segura». El bloqueo simplemente garantiza que nadie pueda espiar los datos intercambiados, pero la persona que creó o administra la página aún puede robar su información.

El 80% de los usuarios creen que están seguros con HTTPS

Los phishers, estafadores de phishing, lo saben muy bien. Según Phishlabs , una cuarta parte de tales ataques en 2017 ocurrieron en sitios HTTPS. Además, una encuesta del mismo año revela que más del 80% de los usuarios creen que la presencia del bloqueo significa que el sitio es seguro al agregar combustible.

En ausencia de HTTPS y el bloqueo, el navegador puede marcar el sitio como inseguro, impedir el acceso o permitir que el usuario lo siga, siempre y cuando sepa que se está exponiendo. En caso de fraude, puede aparecer un candado con una «X» roja acompañada de las letras HTTPS en el mismo color. Esto significa que el sitio tiene el certificado pero ha caducado o no hay garantía de que el dominio pertenezca a la empresa indicada en la página. Este es el caso más sospechoso y visualmente notable.

Cómo los sitios de phishing obtienen HTTPS

Durante la octava Conferencia de analistas de seguridad latinoamericanos de Kaspersky Lab * en la ciudad de Panamá, que tuvo lugar los días 13 y 14 de agosto, la compañía de seguridad detalló el proceso mediante el cual los phishers pueden obtener certificados legítimos. Brasil sigue al líder absoluto en la clasificación (global y regional) de este ataque.

“Hoy en día, es trivial, gratuito y fácil para un delincuente registrar un nombre de dominio, lanzar un sitio de phishing, ejecutar una campaña y tener un certificado digital. El sitio tiene HTTPS ”, dijo Fabio Assolini, analista de seguridad senior de Kaspersky Lab.

¿Por qué HTTPS no significa "sitio seguro" 2

«Lo que hizo su trabajo mucho más fácil fue Let’s Encrypt, una iniciativa realmente genial que otorga certificados digitales a aquellos que no quieren [o no pueden] pagar». Hay certificados digitales que son muy caros. Muchos se benefician de ello, incluido el criminal ”, agregó.

¿Qué es Let’s Encrypt?

Let’s Encrypt es una autoridad de certificación digital que proporciona certificados de cifrado gratuitos a través de un proceso automatizado. La automatización tiene como objetivo eliminar la complejidad de los procesos de creación, validación, instalación y renovación de certificados. El escenario, sin un cheque dedicado, favorece a los estafadores.

En una publicación de 2015 , sin actualización sobre el tema, Let’s Encrypt no estaba decidido a realizar cambios: “Decidir qué hacer aquí ha sido difícil. Por un lado, no nos gustan estos sitios más que nadie, y nuestra misión es ayudar a crear una web más segura y segura. Por otro lado, no estamos seguros de que la emisión de certificados (al menos para la validación del dominio) sea el nivel apropiado para controlar sitios de phishing y malware «. Desde entonces, los números de phishing han crecido.

“Cuando se creó el certificado, la intención era esta: estás en un sitio real porque la compañía que vendió los certificados dijo que solo iba a vender a aquellos que realmente poseían un sitio legítimo. Pero a medida que pasaba el tiempo, esto se estaba distorsionando. Hoy, se vende a todos, y todos harán phishing ”, concluye Assolini.

En resumen, certificado, bloqueo y «S» significan que la transmisión entre usted y el sitio está encriptada, y que el certificado fue emitido por una autoridad SSL. Sin embargo, esto no evita que los sitios HTTPS sean maliciosos o que la autoridad conozca el contenido. También puede suceder que la clave de cifrado privada del sitio se filtre en la web.

¿Y ahora?

Se sospechoso. Nunca ingrese información de inicio de sesión y contraseña (de aplicaciones, correo electrónico y redes sociales), credenciales bancarias (y números de tarjetas de crédito) u otros datos personales (registros en general) en sitios web que no conoce. Verifique el nombre de dominio: los sitios falsos pueden diferir del original solo por una letra y si los enlaces son confiables antes de hacer clic. Los sistemas antivirus escanean las URL basadas en una extensa lista de sitios de phishing y detectan estafas sin importar cuán «seguro» se vea el sitio.

* El periodista viajó a Panamá por invitación de Kaspersky.

También te puede interesar

  • ¡Cupones de descuento de KaBum!
  • Cupones de descuento JBL
  • Ofertas Locaweb

    Contenido Relacionado

    Fox + lanza suscripción sin operador

    Fox + lanza suscripción sin operador

    Fox lanzó en abril el servicio de transmisión Fox + para suscriptores de televisión no paga. Pero la contratación no ...
    Leer Más
    El software Iris le ayudará a proteger sus ojos y a mantener la salud ocular cuando utilice la computadora.

    El software Iris le ayudará a proteger sus ojos y a mantener la salud ocular cuando utilice la computadora.

    Con las computadoras en casi todos los lugares de trabajo, la fatiga ocular se ha convertido en un problema de ...
    Leer Más
    Motorola anuncia Moto X4: diseño de vidrio, pantalla más pequeña y hardware intermedio

    Motorola anuncia Moto X4: diseño de vidrio, pantalla más pequeña y hardware intermedio

    Ya conoces el Moto X4 , pero Motorola acaba de anunciarlo oficialmente. Marcando el regreso de la línea X, presenta ...
    Leer Más
    Uber suelta el botón para despedir a la policía en su aplicación de controladores

    Uber suelta el botón para despedir a la policía en su aplicación de controladores

    En un nuevo movimiento para proporcionar más seguridad, Uber ha anunciado que destacará algunas características importantes en la aplicación de ...
    Leer Más
    Utilice el software anti-censura Freegate para evitar la censura en Internet y navegar libremente.

    Utilice el software anti-censura Freegate para evitar la censura en Internet y navegar libremente.

    Internet se ha integrado tan bien en nuestro estilo de vida que lo damos por sentado. La mayoría de nosotros ...
    Leer Más
    APFS macOS High Sierra (10.13) : instrucciones de uso

    APFS macOS High Sierra (10.13) : instrucciones de uso

    El formato de archivo APFS macOS High Sierra se recomienda para Macs con almacenamiento flash / SSD. De hecho, el ...
    Leer Más

    Deja un comentario