Más allá del candado: aprenda paso a paso cómo identificar sitios fraudulentos
El robo de contraseñas de sitios web de entretenimiento, WhatsApp falso, noticias falsas sobre Covid-19 y la vacuna, estafas y ataques de ransomware más sofisticados, son algunas de las principales amenazas a las que están expuestos los usuarios. No es nuevo: la tecnología ha facilitado la rutina de las personas y más aún con las pandemias. Hoy en día ya no es necesario salir de casa para realizar un pago, realizar compras o incluso asistir a una reunión. Internet se ha convertido en un universo aparte, lleno de transacciones.
Con el objetivo de evitar estafas, el uso de certificados SSL para proteger e identificar sitios ha aumentado drásticamente. Esto ha sido impulsado por navegadores que muestran indicadores negativos para sitios que no son https, lo que alienta a los sitios web a usar SSL. Los certificados SSL vienen en tres versiones: Validado por dominio (DV), Validado organizacionalmente (OV) y Validación extendida (EV). Las diferencias básicas se muestran a continuación:
- Certificado SSL de validación de dominio (DV)
Los certificados SSL de validación de dominio validado se comparan con un registro de dominio para demostrar la propiedad del dominio del sitio. Sin embargo, los certificados DV no ofrecen información de identificación de la organización. Por lo tanto, no se recomienda utilizar certificados DV con fines comerciales.
- Certificado SSL de validación de la organización (OV)
Para recibir un certificado SSL de validación de la organización, las organizaciones son autenticadas por la CA (Autoridad de certificación) contra las bases de datos del registro empresarial alojadas por los gobiernos. Las CA pueden requerir ciertos documentos y personal de contacto para garantizar que los certificados OV contengan información comercial legítima. Este es el tipo estándar de certificado requerido en un sitio web comercial o público.
- Certificado SSL de validación extendida (EV)
Los certificados SSL de validación extendida agregan pasos de validación adicionales y ofrecen el nivel más alto de autenticación para salvaguardar la marca y proteger a sus usuarios. Si bien no todos los sitios de la web utilizan certificados EV, las organizaciones líderes en el mundo los utilizan para garantizar la confianza del usuario. Más de la mitad de los 400 principales sitios de comercio electrónico utilizan EV, según los datos de 2019 de Comscore y Netcraft. Han descubierto que cambiar de certificado SSL OV a EV aumenta las transacciones en línea y mejora la confianza del cliente.
En todos los casos, se proporciona cifrado entre el navegador y el servidor. Sin embargo, el cifrado no proporciona autenticación. Sabemos que el navegador está encriptando datos en algún servidor con un nombre de dominio verificado. Pero no sabemos nada sobre ese dominio con certificado SSL DV. Con OV y EV, recibimos más información sobre el dominio, incluida la ubicación de la empresa (OV), e incluso más detalles con EV.
Mirando más allá del candado
Con la llegada de una web que está cifrada en más del 90% y con los navegadores que muestran un candado sólido para todos los sitios https, independientemente del tipo de certificado, es una falacia simplemente “buscar el candado”, ya que esto es insuficiente para proteger a los usuarios de sitios fraudulentos. Los usuarios deben ser diligentes al buscar pistas sobre la identidad del sitio. Con los certificados EV, debe hacer clic en el candado para ver el nombre legal de la empresa. Esto proporciona una excelente visibilidad de que el sitio ha sido autenticado.
Otra pista que debe buscar es el nombre de la autoridad de certificación (CA) que emitió el certificado del sitio web. Con algunos navegadores, los usuarios pueden colocar el cursor sobre el candado para ver el nombre de la CA. Si el indicador dice “Verificado por DigiCert“, puede estar seguro de que la identificación del sitio se ha verificado de acuerdo con los requisitos de la industria. Las CA líderes, como DigiCert y ESign, único Platinium Partner de DigiCert en Chile, actualizan constantemente los estándares globales mediante los cuales las CA validan las identidades y siguen procesos rigurosos.
Los certificados de Validación de Organización (OV) y Validación Extendida (EV) requieren cierto esfuerzo para obtenerlos. Primero, la entidad solicitante debe ser una organización válida y la CA debe buscar registros públicos para autenticarla. Debido a que esto implica mano de obra, existe un costo asociado con la obtención del certificado. Normalmente, estos no son obstáculos para las organizaciones legítimas. Pero para los ciberdelincuentes, proporcionan una fricción significativa, que puede evitarse obteniendo un certificado DV.
Una investigación reciente mostró que casi la mitad de los sitios de phishing ahora tienen candado. La mayoría de las veces, los certificados de Validación de Dominio (DV) se obtienen con éxito para esos sitios web. Los piratas informáticos saben que pueden solicitar DV automáticamente sin proporcionar ninguna información personal y algunas CA las ofrecen de forma gratuita. Por lo tanto, ni siquiera es necesaria una tarjeta de crédito. Un informe reciente sobre un compromiso de DNS por parte de un supuesto estado-nación afirmaba que los piratas informáticos habían ocultado su operación mediante el uso de “suplantación de certificados”, obteniendo certificados de proveedores conocidos de certificados gratuitos o de bajo costo con poca o ninguna validación realizada. Dada la fácil disponibilidad de estos certificados, no es de extrañar que los ciberdelincuentes utilicen certificados DV de forma predeterminada para legitimar sus sitios web.
Tenga en cuenta lo básico
¿Qué pueden hacer los consumidores para reconocer los sitios web fraudulentos? Tres palabras: examinar, examinar y examinar.
-
- Si bien en el pasado estaba bien buscar el candado en la barra del navegador, ahora se debe examinar la información de este, colocando el cursor sobre el ícono para ver qué CA emitió el certificado. Si es DigiCert, puede estar seguro de que el sitio web ha sido verificado de acuerdo con los estándares de la industria y que, en el caso de un certificado OV (validación de organización) o EV (validación extendida), la identidad del propietario del sitio web ha sido examinada para mayor protección.
-
- Mire de cerca la barra de direcciones y lea la URL a la que ha sido direccionado con atención. ¿Es lo que esperaba?
-
- Haga clic en el candado para revelar información adicional sobre el sitio. Si usa un certificado EV, el nombre de la empresa se identificará inmediatamente después de hacer clic en el candado.
Acerca de DigiCert, Inc.
DigiCert es el principal proveedor mundial de soluciones de PKI y TLS/SSL escalables para servicios de identidad y cifrado. Las empresas más innovadoras, entre las que se encuentran el 89 % de las empresas mencionadas en la lista Fortune 500 y el 97 % de los principales bancos del mundo, eligen DigiCert por su competencia en identidad y cifrado para servidores web y dispositivos del Internet de las Cosas. ESign, empresa con más de 17 años en el mercado chileno generando confianza en los canales digitales, lleva más de 11 años en alianza exclusiva en Chile con DigiCert, siendo los únicos Premium Platinium Partner del país.