“Recuerda que cuando visites un sitio en Internet este debe tener un candado de seguridad en la barra de navegación, de otra manera huye inmediatamente de ahí.”
Así lo hemos escuchado una y otra vez en las campañas de concientización que realizan las organizaciones cuyo objetivo es prevenir y alertar a los usuarios de los riesgos a los que están expuestos al navegar por Internet, y aunque esta es una buena práctica la noticia es que NO todos los sitios que tienen un candado verde(certificado) son seguros y de hecho puedes caer en una estafa perfectamente planeada y destinada a robarte credenciales de acceso de algún sitio de redes sociales, correos o bien intentar comprometer tus datos bancarios, y que sin duda serán utilizados por quienes están detrás de estos ataques y tomarán todo el dinero que tengas disponible en tus tarjetas
Y es qué un sitio “seguro” como a continuación se muestra podría engañar a un usuario distraído y no dudaría que hasta uno que ya tenga algunos cursos de sensibilización encima
Sitio emulando ser icloud de apple
Y aunque el sitio lograra pasar los controles que ya muchos navegadores tienen como parte de la protección a los usuarios, en algún momento podríamos confiar en este sitio como uno auténtico y dejar nuestras contraseñas; recordemos que normalmente estos sitios una vez que hemos escrito el usuario y contraseña como parte de su funcionamiento maléfico nos redireccionará al verdadero sitio ICLOUD y podríamos pensar que solo nos equivocamos de contraseña sin darnos cuenta de que ya hemos sido víctimas de un ataque de robo digital
Pero el engaño puede no llegar hasta ahí, porque de igual forma hemos escuchado una y otra vez que debemos proteger nuestras cuentas con un doble factor de autenticación y esta página emula tenerlo
Sitio falso solicita doble factor de autenticación
Debemos tomar muy en cuenta que al igual que en la vida cotidiana así como en la digital los delincuentes van creando nuevas formas de robo, extorsión o cualquier otro delito, y que estas nuevas formas son cada vez más ingeniosas
Hasta aquí creo que el tema ya lo conocemos, pero de lo que va este artículo es acerca del uso de esos certificados “válidos” que tenemos en páginas fraudulentas como la del ejemplo y es que surgen algunas preguntas:
¿Quién permite registrar un certificado seguro en un sitio fraudulento?
¿Qué empresa recibe un pago por entregar un certificado “seguro” para este tipo de páginas?
Y antes de contestarlas debes conocer de manera general cómo funcionan los certificados de las páginas en Internet
Las conexiones son válidas porque todos los navegadores que usamos tienen instalados certificados de las empresas o entidades que los emiten y cuya funcionalidad es el realizar conexiones seguras, esta funcionalidad está implícita en cualquier navegador conocido como firefox, chrome, brave, vivaldi, safari y hasta edge.
Este mecanismo sirve para validar la autenticidad de los certificados https que están instalados en un portal y su objetivo fundamental es la navegación segura
Vista de autoridades de certificados en firefox
El problema hasta aquí pareciera que no tiene sentido, pero hay dos factores principales asociados a los certificados “seguros” que ponen en riesgo a los usuarios al navegar en Internet
Problema uno
El registro y compra de dominios es una tarea muy sencilla de realizar si tienes de 5 a 10 dólares que es el costo promedio en la mayoría de los casos, así como consultar un dominio que tenga similitud a una marca conocida es igual de sencillo con el uso de herramientas en línea como se muestra a continuación
La adquisición de dominios en casi todos los casos no dispone de control o regulación para garantizar que detrás de un nombre de dominio se encuentre una empresa o persona cuyo objetivo es realizar negocios lícitos en la red, como ejemplo, en la captura anterior podemos ver que icloudtune.com cuesta tan solo 279 dólares, inversión que se recuperara con el primer robo de información que realicen los ciberdelicuentes
Otro tipo es adquiriendo cualquier otro dominio (no importa que no se le parezca al de la marca que se quiere suplantar), el que sea por ejemplo midominio.com, pero si a este se le agrega un subdominio como icloud.login.apple.midominio.com entonces a la vista rápida del usuario este parecerá verdadero, ahora bien si le agregamos un certificado quedando: https://icloud.login.apple.midominio.com entonces luce mucho mejor y es ahí donde tratamos el problema de la generación de certificados seguros sin control
Creación de certificados SSL/TLS
Es verdad, las páginas o aplicativos móviles que disponen de una conexión segura por medio de certificados cifrados garantizan la confidencialidad y el no repudio de la información que se traslada en la jungla salvaje del Internet, ya describía en mí artículo acerca de los passwords seguros que si ingresas tus credenciales en un sitio sin conexión segura los datos que ingresas viajan por decenas de saltos hasta llegar al destino final y en alguno de estos saltos puede ser capturada la información y de ahí realizarse el robo de credenciales o información sensible
Los sitios que venden certificados tienen tres formas de validar la posesión de un dominio (nótese que hablo de posesión o propiedad más no de validar quien eres, al menos en los certificados más sencillos), estas tres formas de validación que cualquier poseedor de un dominio real o falso puede realizar sin gran complicación son:
- Validación con archivo txt en la página principal del dominio
- Validación mediante un registro del tipo txt en los DNS
- Validación por email
Y así de sencillo este nuevo dominio ya dispondrá de un certificado válido por COMODO/SECTIGO, por mencionar una entidad, y esto tan solo por unos pocos dólares, pero esto es solo si el ciberdelincuente quiere gastar o exponer su anonimato en la compra (a menos que previamente ya tenga una tarjeta de crédito comprometida para estos fines), porque las cosas aún se ponen más sencillas para los amigos de capucha negra, existe una organización sin ánimos de lucro que emite certificados con un mínimo de validación, ya que solo se requiere de correo, además que no tiene costo.
Estamos hablando del proyecto https://letsencrypt.org/
Y es que la iniciativa de la organización es 100% aplaudible, porque su principal objetivo radica en que cualquier empresa con un portal en Internet disponga de lo más esencial que es un certificado de comunicación segura, sin embargo, la solución de seguridad pensada en la protección de los usuarios se vuelve un arma mortal para estos debidos a que como comento, estos certificados se pueden crear en cuestión de segundos en servidores Linux o Windows sin tener ningún tipo de validación
Hay infinidad de empresas que desarrollan sitios u ofrecen hosting en donde te ofrecen el certificado “gratis” como valor agregado incluido en la compra del servicio o en otros casos se lo cobran al usuario, y está bien que se pueda cobrar su creación y configuración, pero no venderlo como un certificado emitido por una entidad comercial, cuyo valor puede llegar a varias decenas de dólares, el costo es alto considerando que los certificados de Let’s son gratuitos
Recomendaciones
Entonces una vez que he expuesto este problema lo que hace falta es dar algunos consejos básicos para protección de los usuarios en Internet, pongo 3 principales(aclaro que hay más)
Primero
Sobre todo en sitios donde realices compras o movimientos con tarjetas de crédito o débito valida que el certificado tenga el nombre de la entidad que quieres visitar, por ejemplo para BBVA
En la información del certificado puedes ver que está emitido a BBVA SA y es un sitio seguro
Segundo
Evita entrar al sitio por medio de la búsqueda en google u otro motor de búsqueda, teclea siempre el sitio en la barra de páginas por ejemplo para BBVA teclea arriba de tu navegador: https://bbva.com
Evita ingresar a sitios por medio del buscador ya sea google, bing o cualquier otro
Tercero
Evita entrar a sitios que te hayan enviado por correo, redes sociales, mensajeros o en su caso también evita dar click en direcciones acortadas, por ejemplo : https://cutt.ly/8gOSAoL este sitio acortado de ejemplo te lleva a la página de AMECI https://ameci.org pero ¿sino lo fuera? y ¿sí te enviarán a un sitio falso o un enlace para que descargues un archivo con malware? entonces te aseguro que podrías estar involucrado en un problema de seguridad que ponga en riesgo tu información o recursos relacionados con dinero.