El peligro de los sitios “seguros”

por | Nov 1, 2020

Recuerda que cuando visites un sitio en Internet este debe tener un candado de seguridad en la barra de navegación, de otra manera huye inmediatamente de ahí.”

 

Así lo hemos escuchado una y otra vez en las campañas de concientización que realizan las organizaciones cuyo objetivo es prevenir y alertar a los usuarios de los riesgos a los que están expuestos al navegar por Internet, y aunque esta es una buena práctica la noticia es que NO todos los sitios que tienen un candado verde(certificado) son seguros y de hecho puedes caer en una estafa perfectamente planeada y destinada a robarte credenciales de acceso de algún sitio de redes sociales, correos o bien intentar comprometer tus datos bancarios, y que sin duda serán utilizados por quienes están detrás de estos ataques y tomarán todo el dinero que tengas disponible en tus tarjetas

 

Y es qué un sitio “seguro” como a continuación se muestra podría engañar a un usuario distraído y no dudaría que hasta uno que ya tenga algunos cursos de sensibilización encima

 

Sitio emulando ser icloud de apple

Y aunque el sitio lograra pasar los controles que ya muchos navegadores tienen como parte de la protección a los usuarios, en algún momento podríamos confiar en este sitio como uno auténtico y dejar nuestras contraseñas; recordemos que normalmente estos sitios una vez que hemos escrito el usuario y contraseña como parte de su funcionamiento maléfico nos redireccionará al verdadero sitio ICLOUD y podríamos pensar que solo nos equivocamos de contraseña sin darnos cuenta de que ya hemos sido víctimas de un ataque de robo digital

 

Pero el engaño puede no llegar hasta ahí, porque de igual forma hemos escuchado una y otra vez que debemos proteger nuestras cuentas con un doble factor de autenticación y esta página emula tenerlo

 

Sitio falso solicita doble factor de autenticación

Debemos tomar muy en cuenta que al igual que en la vida cotidiana así como en la digital los delincuentes van creando nuevas formas de robo, extorsión o cualquier otro delito, y que estas nuevas formas son cada vez más ingeniosas

 

Hasta aquí creo que el tema ya lo conocemos, pero de lo que va este artículo es acerca del uso de esos certificados “válidos” que tenemos en páginas fraudulentas como la del ejemplo y es que surgen algunas preguntas:

 

¿Quién permite registrar un certificado seguro en un sitio fraudulento?

 

¿Qué empresa recibe un pago por entregar un certificado “seguro” para este tipo de páginas?

 

Y antes de contestarlas debes conocer de manera general cómo funcionan los certificados de las páginas en Internet

 

Las conexiones son válidas porque todos los navegadores que usamos tienen instalados certificados de las empresas o entidades que los emiten y cuya funcionalidad es el realizar conexiones seguras, esta funcionalidad está implícita en cualquier navegador conocido como firefox, chrome, brave, vivaldi, safari y hasta edge.

 

Este mecanismo sirve para validar la autenticidad de los certificados https que están instalados en un portal y su objetivo fundamental es la navegación segura

 

Vista de autoridades de certificados en firefox

El problema hasta aquí pareciera que no tiene sentido, pero hay dos factores principales asociados a los certificados “seguros” que ponen en riesgo a los usuarios al navegar en Internet

Problema uno

 

El registro y compra de dominios es una tarea muy sencilla de realizar si tienes de 5 a 10 dólares que es el costo promedio en la mayoría de los casos, así como consultar un dominio que tenga similitud a una marca conocida es igual de sencillo con el uso de herramientas en línea como se muestra a continuación

 

 

 

La adquisición de dominios en casi todos los casos no dispone de control o regulación para garantizar que detrás de un nombre de dominio se encuentre una empresa o persona cuyo objetivo es realizar negocios lícitos en la red, como ejemplo, en la captura anterior podemos ver que icloudtune.com cuesta tan solo 279 dólares, inversión que se recuperara con el primer robo de información que realicen los ciberdelicuentes

Otro tipo es adquiriendo cualquier otro dominio (no importa que no se le parezca al de la marca que se quiere suplantar), el que sea por ejemplo midominio.com, pero si a este se le agrega un subdominio como icloud.login.apple.midominio.com entonces a la vista rápida del usuario este parecerá verdadero, ahora bien si le agregamos un certificado quedando: https://icloud.login.apple.midominio.com entonces luce mucho mejor y es ahí donde tratamos el problema de la generación de certificados seguros sin control

Creación de certificados SSL/TLS

Es verdad, las páginas o aplicativos móviles que disponen de una conexión segura por medio de certificados cifrados garantizan la confidencialidad y el no repudio de la información que se traslada en la jungla salvaje del Internet, ya describía en mí artículo acerca de los passwords seguros que si ingresas tus credenciales en un sitio sin conexión segura los datos que ingresas viajan por decenas de saltos hasta llegar al destino final y en alguno de estos saltos puede ser capturada la información y de ahí realizarse el robo de credenciales o información sensible

Los sitios que venden certificados tienen tres formas de validar la posesión de un dominio (nótese que hablo de posesión o propiedad más no de validar quien eres, al menos en los certificados más sencillos), estas tres formas de validación que cualquier poseedor de un dominio real o falso puede realizar sin gran complicación son:

  • Validación con archivo txt en la página principal del dominio
  • Validación mediante un registro del tipo txt en los DNS
  • Validación por email

Y así de sencillo este nuevo dominio ya dispondrá de un certificado válido por COMODO/SECTIGO, por mencionar una entidad, y esto tan solo por unos pocos dólares, pero esto es solo si el ciberdelincuente quiere gastar o exponer su anonimato en la compra (a menos que previamente ya tenga una tarjeta de crédito comprometida para estos fines), porque las cosas aún se ponen más sencillas para los amigos de capucha negra, existe una organización sin ánimos de lucro que emite certificados con un mínimo de validación, ya que solo se requiere de correo, además que no tiene costo.

Estamos hablando del proyecto https://letsencrypt.org/

 

Y es que la iniciativa de la organización es 100% aplaudible, porque su principal objetivo radica en que cualquier empresa con un portal en Internet disponga de lo más esencial que es un certificado de comunicación segura, sin embargo, la solución de seguridad pensada en la protección de los usuarios se vuelve un arma mortal para estos debidos a que como comento, estos certificados se pueden crear en cuestión de segundos en servidores Linux o Windows sin tener ningún tipo de validación

 

Pero además hay empresas que abusan del desconocimiento de los usuarios en este tema

 

Hay infinidad de empresas que desarrollan sitios u ofrecen hosting en donde te ofrecen el certificado “gratis” como valor agregado incluido en la compra del servicio o en otros casos se lo cobran al usuario, y está bien que se pueda cobrar su creación y configuración, pero no venderlo como un certificado emitido por una entidad comercial, cuyo valor puede llegar a varias decenas de dólares, el costo es alto considerando que los certificados de Let’s son gratuitos

Recomendaciones

Entonces una vez que he expuesto este problema lo que hace falta es dar algunos consejos básicos para protección de los usuarios en Internet, pongo 3 principales(aclaro que hay más)

Primero

Sobre todo en sitios donde realices compras o movimientos con tarjetas de crédito o débito valida que el certificado tenga el nombre de la entidad que quieres visitar, por ejemplo para BBVA

 

En la información del certificado puedes ver que está emitido a BBVA SA y es un sitio seguro

Segundo

Evita entrar al sitio por medio de la búsqueda en google u otro motor de búsqueda, teclea siempre el sitio en la barra de páginas por ejemplo para BBVA teclea arriba de tu navegador: https://bbva.com

Evita ingresar a sitios por medio del buscador ya sea google, bing o cualquier otro

Tercero

Evita entrar a sitios que te hayan enviado por correo, redes sociales, mensajeros o en su caso también evita dar click en direcciones acortadas, por ejemplo : https://cutt.ly/8gOSAoL este sitio acortado de ejemplo te lleva a la página de AMECI https://ameci.org pero ¿sino lo fuera? y ¿sí te enviarán a un sitio falso o un enlace para que descargues un archivo con malware? entonces te aseguro que podrías estar involucrado en un problema de seguridad que ponga en riesgo tu información o recursos relacionados con dinero.

Loading

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Más artículos

Metodología MITRE ATT&CK

Metodología MITRE ATT&CK

Metodología de MITRE ATT&CK: Un Enfoque Integral para la Ciberseguridad El marco de MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) ha emergido como uno de los modelos más importantes en la ciberseguridad. Proporciona una descripción...

leer más
Los retos del CISO

Los retos del CISO

En un mundo cada vez más interconectado, donde las amenazas cibernéticas son cada vez más sofisticadas y frecuentes, el papel del Chief Information Security Officer (CISO) se ha vuelto crucial en la estructura organizativa de las empresas. El CISO es el encargado de...

leer más
¿Tu huella como aliado en la ciberseguridad?

¿Tu huella como aliado en la ciberseguridad?

En una época en la que las filtraciones de datos y los ciberataques son cada vez más frecuentes, proteger la información confidencial nunca ha sido tan importante. Los métodos tradicionales de autenticación, como las contraseñas y los PINs, están resultando...

leer más
Share This